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(57) Abstract 



The invention relates to a method for agreeing a session key (K) between a first computer unit (U) and a second computer unit (N) 
without an unauthorised third party being able to obtain useful information regarding the key or the identity of the first computer unit (U). 
To this end, the El-Gamal key exchange principle is incorporated in the method, with the additional formation of a digital signature with 
a hash value whose input variable has at least variables from which the session key can be clearly deduced. 

(57) Zusammenfassung 

Die Erfindung betrifft ein Verfahren, mit dem ein SitzungsschlUssel (K) zwischen einer ersten Computereinheit (U) und einer zweiten 
Computereinheit (N) vereinbart werden kann, ohne daB ein unbefugter Dritter nutzliche Information beziiglich der Schliissel oder der Identitiit 
der ersten Computereinheit (U) erhalten kann. Dies wird eneicht durch die Einbettung des Prinzips des El-Gamal SchlUsselaustauschs in 
das Verfahren mit einer zusatzlichen Bildung einer digitalen Unterschrift uber einen Hash-Wert, dessen Eingangsgrofie mindestens Grossen, 
aus dcnen auf den Sitzungsschliissel eindeutig ruckgeschlossen werden kann, aufweist. 
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Beschreibung 

Verfahren und Anordnung zum rechnergestiitzten Austausch kryp- 
tographischer Schlussel zwischen einer ersten Computereinheit 
und einer zweiten Computereinheit 

Die Erfindung betrifft den rechnergestiitzten Austausch kryp- 
tographischer Schlussel zwischen einer ersten Computereinheit 
und einer zweiten Computereinheit. 



Inf ormationstechnische Systeme unterliegen verschiedenen Be- 
drohungen. So kann z.B. iibertragene Information von einem un- 
befugten Dritten abgehort und verandert werden. Eine weitere 
Bedrohung bei der Kommunikation zweier Kommunikationspartner 
15 liegt in der Vorspiegelung einer falschen Identitat eines 
Kommunikationspartners . 

Diesen und weiteren Bedrohungen wird durch verschiedene Si- 
cherheitsmechanismen, die das inf ormationstechnische System 

20 vor den Bedrohungen schutzen sollen, begegnet. Ein zur Siche- 
rung verwendeter Sicherheitsmechanismus ist die Verschlusse- 
lung der ubertragenen Daten. Damit die Daten in einer Kommu- 
nikationsbeziehung zwischen zwei Kommunikationspartnern ver- 
schliisselt werden konnen, mtissen vor der Obertragung der ei- 

25 gentlichen Daten zuerst Schritte durchgefiihrt werden, die die 
Verschliisselung vorbereiten. Die Schritte konnen z.B. darin 
bestehen, daii sich die beiden Kommunikationspartner auf einen 
Verschlusselungsalgorithmus einigen und dali ggf. die gemein- 
samen geheimen Schlussel vereinbart werden. 



Besondere Bedeutung gewinnt der Sicherheitsmechanismus der 
Verschliisselung bei Mobilf unksystemen, da die ubertragenen 
Daten in diesen Systemen von jedem Dritten ohne besonderen 
zusatzlichen Auf wand abgehort werden konnen. 

Dies fiihrt zu der Anforderung, eine Auswahl bekannter Sicher- 
heitsmechanismen so zu treffen und diese Sicherheitsmechanis- 
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men geeignet zu kombinieren, sowie Kommunikationsprotokolle 
2u spezif izieren, daii durch sie die Sicherheit von informati- 
onstechnischen Systemen gewahrleistet wird. 

Es sind verschiedene asymmetrische Verfahren zum rechnerge- 
stutzen Austausch kryptographischer Schlussel bekannt. 

Asyininetrische Verfahren, die geeignet sind fur Mobilfunksy- 
steme, sind in [1], [2], [3] und [4] beschrieben. 

Das in [1] beschriebene Verfahren bezieht sich ausdrucklich 
auf lokale Netzwerke und stellt hohere Rechenleistungsanf or- 
derungen an eine Computereinhei t eines Kommunikationspartners 
wahrend des Schlusselaustauschs . Auiierdem wird in dem Verfah- 
ren mehr Ubertragungskapazi tat benotigt als bei dem erfin- 
dungsgemaJien Verfahren, da die Lange der Nachrichten grofier 
ist als bei der Erfindung. 

Das in [2] beschriebene Verfahren hat einige grundlegende Si- 
cherheitsziele nicht realisiert. Die explizite Authentif ika- 
tion des Netzes durch den Benutzer wird nicht erreicht. Au- 
iierdem wird ein vom Benutzer an das Netz iibertragener Schlus- 
sel vom Netz nicht an den Benutzer bestatigt. Auch eine Zusi- 
cherung der Frische (Aktualitat) des Schlussels fiir das Netz 
ist nicht vorgesehen. Ein weiterer Nachteil dieses Verfahrens 
besteht in der Beschrankung auf das Rabin-Verf ahren bei der 
impliziten Authentif izierung des Schlussels durch den Benut- 
zer. Dies schrankt das Verfahren in einer flexibleren Anwend- 
barkeit ein. AuJierdem ist kein Sicherheitsmechanismus vorge- 
sehen, der die Nichtabstreitbarkeit von ubertragenen Daten 
gewahrleistet. Dies ist ein erheblicher Nachteil vor allem 
auch bei der Erstellung unanf echtbarer Gebuhrenabrechnungen 
fiir ein Mobilf unksystem. Auch die Beschrankung des Verfahrens 
auf den National Institute of Standards in Technology Signa- 
ture Standard (NIST DSS) als verwendete Signaturf unkt ion 
schrankt das Verfahren in seiner allgemeinen Verwendbarkeit 
ein. 
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Das in [3] beschriebene Verfahren hat ein grundlegendes Si- 
cherheitsziel nicht realisiert: Die explizite Authentif ikati- 
on des Benutzers durch das Netz wird nicht erreicht. 

5 

Das in [4] beschriebene Verfahren basiert auf der Annahme der 
Existenz von gemeinsamen geheimen Schliisseln sowohl zwischen 
Benutzer und besuchtem Netz als auch zwischen Benutzer und 
Heimatnetz vor Beginn eines Protokollauf s . Diese Annahme ist 
10 fur viele Einsatzfalle zu einschrankend . 

Ferner ist ein Verfahren zum sicheren Datenaus tausch zwischen 
vielen Teilnehmern unter Mitwirkung einer Zertif izierungsin- 
stanz aus [5] bekannt. Das bei diesem Verfahren verwendete 
15 Protokoll weist eine Zufallszahl, eine Identitatsangabe sowie 
einen offentlichen Schlussel und einen Sit zungsschlussel auf. 
Grundlegende Sicherheitsziele werden jedoch bei diesem Ver- 
fahren nicht realisiert • 

20 Weiterhin ist ein Verfahren fiir eine PC-PC-Kommunikation un- 
ter Mitwirkung eines Trust-Centers aus [6] bekannt. 

Aus [7] ist ein Verfahren bekannt, bei dem unter Verwendung 
sowohl eines offentlichen als auch eines geheimen Schlussels 
25 sowie unter Verwendung einer Zufallszahl ein Sit zungsschliis- 
sel erzeugt wird. Dieser wird mit einem offentlichen Schliis- 
sel verkniipf t . 

Weiterhin ist in [8] ein Verfahren beschrieben, bei dem eine 
30 Benutzereinheit sich gegenuber einer Netzeinheit identifi- 
ziert. Anschliefiend findet unter Anwendung einer Hash- 
Funktion zwischen der. Benutzereinheit und der Netzeinheit ein 
Authentif izierungsprozeB statt . 

35 Weitere sichere Kommunikationsprotokolle, die aber wesentli- 
che grundlegende Sicherheitsziele nicht realisieren, sind aus 
[9] bekannt. 
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Aus [10] ist es bekannt, daB in einer ersten Computereinheit 
aus einer ersten Zufallszahl mit Hilfe eines erzeugenden Ele- 
ments einer endlichen Gruppe ein erster Wert gebildet wird, 
5 der zu einer zu einer zweiten Computereinheit ubertragen 

wird. In der zweiten Computereinheit wird ein Sitzungsschlus- 
sel gebildet durch Hash-Wert-Bildung des ersten Werts, der 
mit einem geheimen Net zschliissel exponiert wird. In der er- 
sten Computereinheit wird ebenfalls der Sitzungsschliissel ge~ 

10 bildet, dort jedoch durch Hash-Wert-Bildung eines offentli- 

chen Netzschlussels, der mit der ersten Zufallszahl exponiert 
wird. Ferner wird dort ein Hash-Wert liber den Sitzungsschliis- 
sel gebildet und der Hash-Wert wird digital signiert. Der 
sich ergebende Signatuterm wird zu der zweiten Computerein- 

15 heit ubertragen und dort verifiziert. 

Das in [11] beschriebene Verfahren erreicht die wesentlichen 
Sicherheitsziele, jedoch mit einem hoheren Aufwand an Rechen- 
leistung und Ubertragungskapazitat . 

20 

Asymmetrische Verfahren beruhen im wesentlichen auf zwei Pro- 
blemen der Komplexitatstheorie, dem Problem zusammengeset zte 
Zahlen effizient zu f aktorisieren, und dem diskreten Log- 
arithmusproblem (DLP) . Das DLP besteht darin, daJi in geeigne- 
25 ten Rechenst rukturen zwar Exponentiationen effizient durchge- 
fuhrt werden konnen, daii jedoch fur die Umkehrung dieser Ope- 
ration, das Logarithmieren, keine effizienten Algorithmen be- 
kannt sind. 

30 Solche Rechenstrukturen sind z.B. unter den oben bezeichneten 
endlichen Gruppen zu verstehen. Diese sind z,B. die mul- 
tiplikative Gruppe eines endlichen Korpers (z.B, Multiplizie- 
ren Modulo p, wobei p eine grofte Primzahl ist), oder auch so- 
genannte "elliptische Kurven" . Elliptische Kurven sind vor 

35 allem deshalb interessant, well sie bei gleichem Sicher- 

heitsniveau wesentliche klirzere Sicherheitsparameter erlau- 
ben. Dies betrifft die Lange der offentlichen Schllissel, die 
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Lange der Zertifikate, die Lange der bei der Sitzungsschlus- 
selvereinbarung auszutauschenden Nachrichten sowie die Lange 
von digitalen Signaturen, die jeweils im weiteren beschrieben 
werden. Der Grund daftir ist, daB die fiir elliptische Kurven 
5 bekannten Logarithmierver f ahren wesentlich weniger effizient 
sind als die fiir endliche Korper. 

Eine groiie Primzahl in diesem Zusammenhang bedeutet, daB die 
Grolie der Primzahl so gewahlt werden muB, daB die Logarith- 
10 mierung so aufwendig ist, daJi sie nicht in vertretbarer Zeit 
durchgefuhrt werden kann. Vertretbar bedeutet in diesem Zu- 
sammenhang einen Zeitraum entsprechend der Sicherheitspolitik 
von mehreren Jahren bis Jahrzehnten und langer. 

15 Unter einer Hash-Funkt ion ist in diesem Zusammenhang eine 

Funktion zu verstehen, bei der es nicht moglich ist, zu einem 
gegebenen Funkt ionswert einen passenden Eingangswert zu be- 
rechnen. Ferner wird einer beliebig langen Eingangszeichen- 
folge eine Ausgangszeichenf olge fester Lange zugeordnet. Des 

20 weiteren konnen fiir die Hash-Funktion zusatzliche Eigen- 
schaften gefordert werden. Eine solche zusatzliche Eigen- 
schaft ist Kollisionsf reiheit, d.h. es darf nicht moglich 
sein, zwei verschiedene Eingangszeichenf olgen zu finden, die 
dieselbe Ausgangszeichenf olge ergeben , 

25 

Der Erfindung liegt das Problem zugrunde, ein vereinf achtes 
Verfahren zum rechnergestlit zten Austausch kryptographischer 
Schlussel anzugeben, das nicht die Existenz gemeinsamer ge- 
heimer Schlussel voraussetzt. 

30 

Dieses Problem wird durch das Verfahren gemaB Patentanspruch 
1 sowie durch die Anordnung gemaB Patentanspruch 29 gelost. 

Bei dem Verfahren wird aus einer ersten Zufallszahl mit Hilfe 
35 eines erzeugenden Elements einer endlichen Gruppe in der er- 
sten Computereinheit ein erster Wert gebildet. Eine erste 
Nachricht wird von der ersten Computereinheit an die zweite 
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Computereinheit iibertragen, wobei die ersten Nachricht minde- 
stens den ersten Wert aufweist. In der zweiten Computerein- 
heit wird ein Sitzungsschlussel mit Hilfe einer ersten Hash- 
Funktion gebildet wird, wobei eine erste EingangsgroiJe der 
5 ersten Hash-Funktion mindestens einen ersten Term aufweist, 
der gebildet wird durch eine Exponentiation des ersten Werts 
mit einem geheimen Net zschlussel , In der ersten Computerein- 
heit wird der Sitzungsschlussel gebildet mit Hilfe der ersten 
Hash-Funktion, wobei eine zweite EingangsgroBe der ersten 

10 Hash-Funktion mindestens einen zweiten Term aufweist, der ge- 
bildet wird durch eine Exponentiation eines offentlichen 
Netzschlussels mit der ersten Zufallszahl. In der ersten Com- 
putereinheit wird mit Hilfe einer zweiten Hash-Funktion oder 
der ersten Hash-Funktion eine vierte Eingangsgrolie gebildet, 

15 wobei eine dritte EingangsgroBe fur die erste Hash-Funktion 
Oder fiir die zweite Hash-Funktion zur Bildung der vierten 
EingangsgroBe eine oder weitere Groiien aufweist, aus denen 
auf den Sitzungsschlussel eindeutig ruckgeschlossen werden 
kann. In der ersten Computereinheit wird ein Signaturterm aus 

20 mindestens der vierten EingangsgroiJe gebildet wird unter An- 
wendung einer ersten Signatur f unktion . Eine dritte Nachricht 
wird von der ersten Computereinheit an die zweite Compu- 
tereinheit ubertragen, wobei die dritte Nachricht mindestens 
den Signaturterm der ersten Computereinheit aufweist. In der 

25 zweiten Computereinheit wird der Signaturterm verifiziert. 



Bei der Anordnung sind die erste Computereinheit und die 
zweite Computereinheit derart eingerichtet sind, dali folgende 
Ver f ahrensschritte durch fuhrbar sind : 
30 - aus einer ersten Zufallszahl wird mit Hilfe eines erzeugen- 
den Elements einer endlichen Gruppe in der ersten Compu- 
tereinheit ein erster Wert gebildet, 

- eine erste Nachricht wird von der ersten Computereinheit an 
die zweite Computereinheit ubertragen, wobei die erste 

35 Nachricht mindestens den ersten Wert aufweist, 

- in der zweiten Computereinheit wird ein Sitzungsschlussel 
mit Hilfe einer ersten Hash-Funktion gebildet, wobei eine 
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erste EingangsgroBe der ersten Hash-Funktion mindestens ei- 
nen ersten Term aufweist, der gebildet wird durch eine Ex- 
ponentiation des ersten Werts mit einem geheimen Netz- 
schltissel, 

5 - in der ersten Computereinhei t wird der Sit zungsschliissel 
gebildet mit Hilfe der ersten Hash-Funktion, wobei eine 
zweite EingangsgrolSe der ersten Hash-Funktion mindestens 
einen zweiten Term aufweist, der gebildet wird durch eine 
Exponentiation eines offentlichen Netzschlussels mit der 
10 ersten Zufallszahl, 

- in der ersten Computereinheit wird mit Hilfe einer zweiten 
Hash-Funktion oder der ersten Hash-Funktion eine vierte 
Eingangsgrolie gebildet wird, wobei eine dritte Eingangsgro- 
Be fiir die erste Hash-Funktion oder fiir die zweite Hash- 

15 Funktion zur Bildung der vierten Eingangsgrolie eine oder 

weitere GroBen aufweist, aus denen auf den Sit zungsschliis- 
sel eindeutig rlickgeschlossen werden kann . 

- in der ersten Computereinheit wird ein Signaturterm aus 
mindestens der vierten Eingangsgrolie gebildet unter Anwen- 

20 dung einer ersten Signaturf unktion, 

- eine dritte Nachricht wird von der ersten Computereinheit 
an die zweite Computereinheit ubertragen, wobei die dritte 
Nachricht mindestens den Signaturterm der ersten Compu- 
tereinheit aufweist, und 

25 - in der zweiten Computereinheit wird der Signaturterm veri- 
f iziert . 



Die durch die Erfindung erreichten Vorteile liegen vor allem 
in einer erheblichen Reduktion der Lange der libertragenen 
30 Nachrichten und in der Realisierung weiterer Sicherheitszie- 
le . 



35 



Die Erfindung ist aulierdem sehr leicht an unterschiedliche 
Anf orderungen anpaiibar, da es sich nicht auf bestimmte Algo- 
rithmen fiir Signaturbildung und Verschliisselung beschrankt. 
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Vorteilhafte Wei terbildungen der Erfindung ergeben sich aus 
den abhangigen Anspruchen. 

In einer Weiterbildung ist es vorgesehen, einen langlebigen 
5 geheimen Netzschlussel und einen langlebigen offentlichen 
Netzschliissel einzusetzen . 

Unter einem langlebigen Schlussel ist im weiteren ein Schlus- 
sel zu verstehen, der fur mehrere Protokollauf e eingesetzt 
10 wird. 

Durch die Erfindung und ihre Weiterbildungen werden folgende 
Sicherheitsziele realisiert : 

- Gegenseitige explizite Authentif izierung von dem Benutzer 
15 und dem Netz, d.h. die gegenseitige Verif izierung der be- 

haupteten Identitat , 

- Schlusselvereinbarung zwischen dem Benutzer und dem Netz 
mit gegenseitiger impliziter Authentif izierung, d.h., daB 
durch das Verfahren erreicht wird, daB nach AbschluB der 

20 Prozedur ein gemeinsamer geheimer Sit zungsschlussel zur 

Verfugung steht, von dem jede Partei weiii, dali nur das au- 
thentische Gegenuber sich ebenfalls im Besitz des geheimen 
Sitzungsschlussels befinden kann, 

- Zusicherung der Frische (Aktualitat) des Sitzungsschlussels 
25 fur den Benutzer, 

- gegenseitige Bestatigung des Sitzungsschlussels von dem Be- 
nutzer und dem Netz, d.h. die Bestatigung, daB das Gegen- 
uber tatsachlich im Besitz des vereinbarten geheimen Sit- 
zungsschlussels ist . 

30 

Auf diese Sicherheitsziele beziehen sich auch die folgenden 
vorteilhaf ten Weiterbildungen des Verfahrens. 

In einer Weiterbildung wird zusatzlich in der ersten Compu- 
35 tereinheit ein vertrauenswurdiger offentlicher Benutzer- 

schlussel der ersten Computereinheit z.B, in Form eines Be- 
nutzer zertifikats verfugbar gemacht und in der zweiten Compu- 
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tereinheit ■ wird ein vertrauenswurdiger offentlicher Netz- 
schliissel der zweiten Computereinheit z.B. in Form eines 
Netzzertif ikats verfugbar gemacht. Der offentliche Netz- 
schlussel muB bei dieser Weiterbildung nicht in der ersten 
5 Computereinheit verfugbar sein. 

In einer weiteren Ausgestaltung ist es nicht notig, dali der 
offentliche Benut zerschliissel in der zweiten Computereinheit 
verfugbar ist , 

10 

GemaB einer weiteren Ausgestaltung ist in der ersten Compu- 
tereinheit kein vertrauenswurdiger offentlicher Netzschlussel 
der zweiten Computereinheit er f orderlich . In der ersten Com- 
puterenheit ist ein vertrauenswurdiger offentlicher Zertifi- 

15 zierungsschliissel der Zertif izierungscomputereinheit verfug- 
bar. Dies bedeutet/ daJJ die erste Computereinheit sich den 
vertrauenswurdigen offentlichen Netzschlussel in Form eines 
Netzzertif ikats von einer Zertif izierungscomputereinheit 
"besorgen" muii . Ebenso braucht die zweite Computereinheit den 

20 vertrauenswurdigen offentlichen Benutzerschiissel in Form ei- 
nes Benutzerzertif ikats von der Zertif izierungscomputerein- 
heit , 

Durch die Weiterbildungen der Erfindung gemaB den Patentan- 
25 spruchen 13, 15 und 20 wird das Sicherheitsziel der Benutzer- 
anonymitat realisiert, d.h. die Vertraulichkeit der Identitat 
des Benut zers gegentiber Dritten. 

Die Weiterbildung des erf indungsgemalien Verfahrens gemafi Pa- 
30 tentanspruch 15 ermoglicht die Verwendung von temporaren Be- 
nut zer identitat en . 

Durch die Weiterbildung des Verfahrens gemaB Patentanspruch 
16 wird vor allem eine zusatzliche Authentif izierung der 
35 zweiten Computereinheit gegenuber der ersten Computereinheit 
gewahrleistet . 
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Durch die Weiterbildung gemali Patentanspruch 18 wird das Si- 
cherheitsziel der Zusicherung der Frische (Aktualitat) des 
Sitzungsschlussels fur das Netz realisiert. 

Durch die Weiterbildung gemaB Patentanspruch 21 wird zusatz- 
lich das Sicherheitsziel der Nichtabstreitbarkeit von Daten 
realisiert, die vom Benutzer an das Netz gesendet wurden. 

Die Zeichnungen stellen bevorzugte Ausf uhrungsbeispiele der 
Erfindung dar, die im folgenden naher beschrieben werden. 

Es zeigen 

Figur 1 ein Ablauf diagrainiu, das ein erstes Ausf iihrungsbei- 

spiel des Verfahrens mit einigen Wei terbildungen dar 
stent; 

Figur 2 ein Tlblauf diagramm, das ein zweites Ausf iihrungsbei- 
spiel des Verfahrens mit einigen Wei terbildungen dar 
stent; 

Figuren 3 ein Ablauf diagranun, das ein drittes Ausf iihrungsbei 
spiel des Verfahrens mit einigen Wei terbildungen dar 
stent; 



Erstes Ausf iihrungsbei spiel 



In Figur 1 ist durch eine Skizze der Ablauf des Verfahrens 
dargestellt. Das Verfahren betrifft den Austausch kryptogra- 
phischer Schlussel zwischen einer ersten Computereinheit U 
und einer zweiten Computereinheit N, wobei unter der ersten 
Computereinheit U eine Computereinheit eines Benutzers eines 
Mobilfunknetzes zu verstehen ist und unter einer zweiten Com 
putereinheit N eine Computereinheit des Netzbetreibers eines 
Mobilfunksystems zu verstehen ist. 

Fur das Verfahren wird vorausgeset zt, dal5 in der ersten Com- 
putereinheit U ein vertrauenswurdiger offentlicher Netz- 
schltlssel gs der zweiten Computereinheit N verfugbar ist und 
daii in der zweiten Computereinheit N ein vertrauenswurdiger 
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offentlicher Benut zerschlussel KU der ersten Computereinheit 
U verfugbar ist, wobei g ein erzeugendes Element einer endli- 
chen Gruppe ist. 

5 In der ersten Computereinheit U wird eine erste Zufallszahl t 
generiert {Schritt 101). Aus der ersten Zufallszahl t wird 
mit Hilfe des erzeugenden Elements g einer endlichen Gruppe 
in der ersten Computereinheit U ein erster Wert g"*^ gebildet 
(Schritt 102) . 

10 

Nach der Berechnung des ersten Werts g**^ wird eine erste Nach- 
richt Ml codiert, die mindestens den ersten Wert g^ aufweist. 
Die erste Nachricht Ml wird von der ersten Computereinheit U 
an die zweite Computereinheit N libertragen {Schritt 103). 

15 

In der zweiten Computereinheit N wird die erste Nachricht Ml 
decodiert. Die erste Nachricht Ml kann auch uber einen unsi- 
cheren Kanal, also auch uber eine Luf tschnittstelle, unver- 
schltisselt ubertragen werden, da die Logari thmierung des er- 
20 sten Wertes g^ nicht in vertretbarer Zeit durchgefuhrt werden 
kann. 

In der zweiten Computereinheit N wird eine zweite Zufallszahl 
r generiert (Schritt 104). Durch diesen zusatzlichen Verfah- 
25 rensschritt wird ein zusatzliches Sicherheitsziel realisiert: 
die Zusicherung der Frische (Aktualitat) eines im folgenden 
beschriebenen Sit zungsschlussels K fiir die zweite Compu- 
tereinheit N. 

30 In der zweiten Computereinheit N wird mit Hilfe einer ersten 
Hash-Funktion hi ein Si t zungsschlussel K gebildet (Schritt 
105) . Als eine erste Eingangsgroiie der ersten Hash-Funktion 
hi wird mindestens ein erster Term verwendet. Der erste Term 
wird gebildet, indem der erste Wert .q^ potenziert wird mit 

35 einem geheimen Net zschliissel s. 
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Wenn die zweite Zufallszahl r verwendet wird, so weist die 
erste Eingangsgrofie der ersten Hash-Funktion hi zusatzlich 
mindestens die zweite Zufallszahl r auf. 

5 Nun wird in der zweiten Computereinheit N eine Antwort A ge- 
bildet (Schritt 106) . Zur Bildung der Antwort A sind ver- 
schiedene Varianten vorgesehen. So ist es z.B, moglich, daft 
mit deiri Sitzungsschlussel K unter Verwendung einer Verschliis- 
selungsf unktion Enc eine Konstante const, sowie eventuell 

10 weitere Grolien, verschlussel t wird. Die Konstante const ist 
sowohl der ersten Computereinheit U als auch der zweiten Com- 
putereinheit N bekannt. Auch die Verschlusselungsf unktion Enc 
ist sowohl der zweiten Computereinheit N als auch der ersten 
Computereinheit U als die in dem Verfahren zu verwendende 

15 Verschliisselungsfunktion bekannt. 

Eine weitere Moglichkeit, die Antwort A zu bilden (Schritt 
106) liegt darin, dafi der Sitzungsschlussel K, sowie eventu- 
ell vorgebbare weitere GroBen, z.B. eine Identi tatsangabe idN 
20 der zweiten Computereinheit N und/oder die zweite Zufallszahl 
als Eingangsgrofte fur eine zweite Hash-Funktion h2 verwendet 
wird und der "gehashte" Wert des Si t zungsschlussels K, sowie 
eventuell der weiteren GroBen, als Antwort A verwendet wird. 

25 Eine Aneinanderreihung der zweiten Zufallszahl r, der Antwort 
A, sowie ein optionales erstes Datenfeld datl bilden eine 
zweite Nachricht M2 . Das optionale erste Datenfeld datl ist 
nur in der zweiten Nachrichten M2 enthalten, wenn dies in dem 
Verfahren vorgesehen ist. 

30 

Die zweite Nachricht M2 wird in der zweiten Computereinheit N 
codiert und zu der ersten Computereinheit U ubertragen 
(Schritt 107) . 

35 In der ersten Computereinheit U wird die zweite Nachricht M2 
decodiert, so daft die erste Computereinheit U die zweite Zu- 
fallszahl r, die Antwort. A sowie eventuell das optionale er- 
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ste Datenfeld datl zur Verfiigung hat. Die Lange des optiona- 
len ersten Datenfeldes datl kann beliebig grofJ sein, d.h. es 
ist auch moglich, dafi das optionale erste Datenfeld datl 
nicht vorhanden ist. 

5 

In der ersten Computereinheit U wird nun ebenfalls der Sit- 
zungsschlussel K gebildet (Schritt 108), mit Hilfe der ersten 
Hash-Funktion hi, die sowohl der zweiten Computereinheit N 
als auch der ersten Computereinheit U bekannt ist. Eine zwei- 

10 te EingangsgroJie der ersten Hash-Funktion hi zur Bildung des 
Sitzungsschlussels K in der ersten Computereinheit U weist 
mindestens einen zweiten Term auf . Der zweite Term wird ge- 
bildet aus einer Exponentation eines offentlichen Netzschlus- 
sels gS mit der ersten Zufallszahl t. Wenn die Verwendung der 

15 zweiten Zufallszahl r in dem Verfahren zur Berechnung des 
Sitzungsschlussels K vorgesehen wird, so weist "die zweite 
Eingangsgroiie der ersten Hash-Funktion hi zur Bildung des 
Sitzungsschlussels K in der ersten Computereinheit U zusatz- 
lich die zweite Zufallszahl r auf. 

20 

Durch die Verwendung der ersten Zufallszahl t und der zweiten 
Zufallszahl r bei der Generierung des Sitzungsschlussels K 
wird die Aktualitat des Sitzungsschlussels K gewahrleistet , 
da jeweils die erste Zufallszahl t als auch die zweite Zu- 
25 fallszahl r nur fur jeweils einen Sitzungsschliissel K verwen- 
det werden. Somit wird eine Wiedereinspielung eines alteren 
Schliissels als Sitzungsschliissel K verhindert. 

Nachdem in der ersten Computereinheit U der Sit zungsschlussel 
30 K gebildet wurde, wird anhand der empfangenen Antwort A uber- 
priift, ob der in der ersten Computereinheit U gebildete Sit- 
zungsschliissel K mit dem Sit zungsschlussel K, der in der 
zweiten Computereinheit N gebildet wurde, ubereinstimmt 
(Schritt 109) . Abhangig von den im vorigen beschriebenen Va- 
35 rianten zur Bildung der Antwort A sind verschiedene Moglich- 
keiten vorgesehen, den Sit zungsschlussel K anhand der Antwort 
A zu uberpriifen. 
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Eine Moglichkeit besteht darin, daB, wenn die Antwort A in 
der zweiten Computereinheit N durch Verschlusselung der Kon- 
stante const, sowie eventuell weitere Groiien, mit dem Sit- 
zungsschlussel K unter Verwendung der Verschltisselungsf unkti- 
on Enc gebildet wurde, die Antwort A entschlusselt wird, und 
somit die erste Computereinheit U eine entschlusselte Kon- 
stante const', sowie eventuell vorgebbare weitere GroJien, er- 
halt/ die mit der bekannten Konstante const, sowie eventuell 
den weiteren Groiien, verglichen wird. 

Die tJberprufung des Sitzungsschlussels K anhand der Antwort A 
kann auch durchgefuhrt werden, indem die der ersten Compu- 
tereinheit U bekannte Konstante const, sowie eventuell vor- 
gebbare weitere Grofien, mit dem in der ersten Computereinheit 
U gebildeten Si tzungsschliissel K unter Verwendung der Ver- 
schlusselungsfunktion Enc verschlusselt wird und das Ergebnis 
mit der Antwort A auf Ubereinstimmung gepriift wird. Diese 
Vorgehensweise wird auch verwendet, wenn die Antwort A in der 
zweiten Computereinheit N gebildet wird, indem auf den Sit- 
zungsschlussel K, sowie eventuell den weiteren Grolien, die 
zweite Hash-Funktion h2 angewendet wird. In diesem Fall wird 
in der ersten Computereinheit U der in der ersten Compu- 
tereinheit U gebildete Sit zungsschlussel K, sowie eventuell 
vorgebbare weiteren GroBen, als EingangsgroBe der zweiten 
Hash-Funktion h2 verwendet. Der "gehashte" Wert des in der 
ersten Computereinheit U gebildeten Sitzungsschlussels K, so- 
wie eventuell weiterer Groften, wird dann mit der Antwort A 
auf Ubereinstimmung gepruft. Damit wird das Ziel der Schlus- 
selbestatigung des Sitzungsschlussels K erreicht, 

Dadurch, daii bei der Berechnung des Sitzungsschlussels K in 
der zweiten Computereinheit N der geheime Net zschliissel s und 
bei der Berechnung des Sitzungsschlussels K in der ersten 
Computereinheit U der offentliche Netzschlussel g^ verwendet 
werden, wird die zweite Computereinheit N durch die erste 
Computereinheit U authentif iziert . Dies wird erreicht, vor- 
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ausgesetzt daii fur die erste Coinputereinheit U bekannt ist, 
daii der offentliche Netzschliissel tatsachlich zur zweiten 
Computereinheit N gehort . 

5 Im Anschluii an die Bestatigung des Si tzungsschlussels K durch 
tiberprufung der Antwort A wird ein Signaturterm berechnet 
(Schritt 110) . Hierzu wird mit Hilfe einer dritten Hash- 
Funktion h3 eine vierte EingangsgroBe gebildet. Die dritte ■ 
Hash-Funktion h3 kann, muB aber nicht dieselbe Hash-Funktion 

10 sein wie die erste Hash-Funktion hi und/oder die zweite Hash- 
Funktion h2 . Als eine dritte EingangsgroJie fur die dritte 
Hash-Funktion h3 wird ein Term verwendet/ der eine oder wei- 
tere Groften aufweist, aus denen auf den Sit zungsschlussel 
eindeutig ruckgeschlossen werden kann, enthalt . Weiterhin kann 

15 die dritte EingangsgroJie das optionale erste Datenfeld datl 
Oder auch ein optionales zweites Datenfeld dat2 enthalten, 
wenn deren Verwendung in dem Verfahren vorgesehen wird. 

Seiche GroBen sind der erste Wert g"^, der offentliche Netz- 
20 schlussel g^ sowie die zweite Zufallszahl r. 

Es kann spater nicht abgestritten werden, dal5 die Daten, die 
im ersten optionale Datenfeld datl und im zweiten optionalen 
Datenfeld dat2 enthalten sind, von der ersten Computereinheit 
25 U gesendet wurden. 

Die in dem ersten optionalen Datenfeld datl und in dem zwei- 
ten optionalen Datenfeld dat2 enthaltenen Daten konnen Tele- 
fonnummern, die aktuelle Zeit oder ahnliche hierfur geeignete 
30 Parameter sein. Diese Information kann als Werkzeug fur eine 
unanf echtbare Gebuhrenabrechnung verwendet werden. 

Unter Verwendung einer ersten Signaturf unktion Sigy wird der 
Signaturterm aus mindestens der vierten EingangsgroBe gebil- 
35 det. Um einen hoheren Sicherheitsgrad zu erzielen, kann der 
Signaturterm verschlusselt werden. Der Signaturterm wird in 
diesem Fall mit dem Sit zungsschlussel K unter Verwendung der 
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Verschliisselungsf unktion Enc verschlusselt und bildet den er- 
sten verschlusselten Term VTl . 

Aufterdem wird, falls das Sicherheitsziel "Anonymitat des Be- 
5 nutzers" realisiert werden soli, ein zweiter verschliissel ter 
Term VT2 berechnet, in dem eine Identi tatsgrofie IMUI der er- 
sten Computereinheit U mit dem Sitzungschlussel K mit Hilfe * 
der Verschltisselungsf unktion Enc verschlusselt wird, Bei Ver- 
wendung eines optionalen zweiten Datenfeldes dat2 wird in der 
10 ersten Computereinheit U ein dritter verschlusselter Term VT3 
berechnet, indem das optionale zweite Datenfeld dat2 mit dem 
Sitzungsschlussel K unter Verwendung der Verschlusselungs- 
funktion Enc verschlusselt wird, das optionale zweite Daten- 
feld dat2 kann auch unverschliisselt iibertragen werden. 

15 

Die drei verschlusselten Terme konnen auch zu einem vierten 
verschlusselten Term VT4 zusammengef asst werden, in dem die 
Verkettung von Signaturterm, Identitatsgroiie IMUI und optio- 
nalem zweiten Datenfeld dat2 mit dem Sitzungsschlussel K ver- 
20 schlusselt ist (Schritt 111) . 

In der ersten Computereinheit U wird eine dritte Nachricht M3 
gebildet und codiert, die mindestens den Signaturterm und die 
Identitatsgrofte IMUI der ersten Computereinheit U aufweist. 

25 

Falls die Anonymitat der ersten Computereinheit U gewahrlei- 
stet werden soli, weist die dritte Nachricht M3 anstatt der 
Identitatsgrolie IMUI der ersten Computereinheit U mindestens 
entweder den zweiten verschlusselten Term VT2 oder den vier- 
30 ten verschlusselten Term VT4 auf, der die Information uber 

die Identitat der ersten Computereinheit U in verschlusselter 
Form enthalt, die nur von der zweiten Computereinheit N ent- 
schlusselt werden kann. 

35 Wenn die Verwendung des optionalen zweiten Datenfelds dat2 
vorgesehen wird, weist die dritte Nachricht M3 zusatzlich 
mindestens den dritten verschlusselten Term VT3 oder den 
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vierten verschlusselten Term VT4 oder das optionale zweite 
Datenfeld dat2 im Klartext auf. 

Wenn die dritte Nachricht M3 den ersten verschlusselten Term 
5 VTl, den zweiten verschlusselten Term VT2 oder den dritten 
verschlusselten Term VT3 oder den vierten verschlusselten 
Term VT4 enthalt, werden diese in der zweiten Computereinhei t 
N entschliisselt . Dies geschieht fiir den eventuell vorhandenen 
ersten verschlusselten Term VTl vor der Verifikation des Si- 
1 0 gnaturterms . 

Die dritte Nachricht M3 wird von der ersten Computereinhei t U 
zu der zweiten Computereinheit N iibertragen (Schritt 112)* 

15 Zusatzlich wird die Authentif ikation der ersten Computerein- 
heit U gegeniiber der zweiten Computereinheit N durch den Si- 
gnaturterm gewahrleistet , der die Zufallszahl r enthalt, 
durch deren Verwendung garantiert wird, daB die dritte Nach- 
richt M3 tatsachlich aktuell von der ersten Computereinheit U 

20 gesendet wurde . 

In der zweiten Computereinheit N wird die dritte Nachricht M3 
decodiert, entschliisselt und anschlieiiend wird anhand eines 
Benuterzert if ikats CertU, das der zweiten Computereinheit N 
25 zur Verfugung steht, der Signaturterm verifiziert (Schritt 
113) . 

Wenn fur das Verfahren temporare Benutzeridentitaten vorgese- 
hen werden, so wird das im vorigen beschriebene Verfahren urn 
30 einige Ver f ahrensschritte erweitert. 

Zuerst muli der zweiten Computereinheit N bekannt gemacht wer- 
den, welche erste Computereinheit U eine neue temporare Iden- 
titatsgrofie TMUIN von der zweiten Computereinheit N zugewie- 
35 sen bekommen soli. 
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Hierzu wird als zusatzlicher Bestandteil der ersten Nachricht 
Ml eine alte temporare Identi tatsgroibe TMUIO von der ersten 
Computereinheit U an die zweite Computereinhei t N ubertragen. 

Nach Empfang der ersten Nachricht Ml ist somit in der zweiten 
Computereinheit N bekannt, fur welche erste Computereinheit U 
die neue temporare IdentitatsgroBe TMUIN bestimmt ist. 

In der zweiten Computereinheit N wird dann die neue temporare 
IdentitatsgroBe TMUIN fur die erste Computereinheit U gebil- 
det. Dies kann z. B. durch Generierung einer Zufallszahl oder 
durch Tabellen, in denen mogliche Identi tatsgrolien abgespei- 
chert sind, durchgefuhrt werden. Aus der neuen temporaren 
IdentitatsgroBe TMUIN der ersten Computereinheit U wird in 
der zweiten Computereinheit N ein funfter verschlussel ter 
Term VT5 gebildet, indem die neue temporare Identi tatsgroiie 
TMUIN der ersten Computereinheit U mit dem Si tzungsschlussel 
K unter Verwendung der Verschlusselungsf unktion Enc ver- 
schlusselt wird. 

In diesem Fall weist die zweite Nachricht N2 zusatzlich min- 
destens den funften verschlussel ten Term VT5 auf . Der funfte 
verschliisselte Term VT5 wird dann in der ersten Computerein- 
heit U entschlusselt . Nun ist die neue temporare Identitats- 
groiie TMUIN der ersten Computereinheit U in der ersten Compu- 
tereinheit U verfugbar. 

Damit der zweiten Computereinheit N auch gewahrleistet wird, 
dai3 die erste Computereinheit U die neue temporare Identi- 
tatsgroJie TMUIN korrekt empfangen hat, weist die dritte Ein- 
gangsgrofie fur die erste Hash-Funktion hi oder fur die dritte 
Hash-Funktion h3 zusatzlich mindestens die neue temporare 
Identitatsgrolie TMUIN der ersten Computereinheit U auf. 

Da die Information der neuen temporaren Identitatsgrofte TMUIN 
in dem Signaturterm in diesem Fall enthalten ist, weist die 
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dritte Nachricht M3 nicht mehr die IdentitatsgroiJe IMUI der 
ersten Computereinheit U auf . 

Es ist auch moglich, die neue temporare Identitatsgroiie TMUIN 
5 nicht in den Signaturterm zu integrieren, sondern den zweiten 
verschlusselten Terin VT2 zu bilden, indem anstatt der Identi- 
tatsgroBe IMUI der ersten Computereinheit U die neue tempora- 
re Identitatsgrofie TMUIN mit dem Sit zungsschltissel K unter 
Verwendung der Verschlusselungsf unktion Enc verschlusselt 
10 wird. In diesem Fall weist die dritte Nachricht M3 zusatzlich 
den zweiten verschlusselten Term VT2 auf. 

Die in dem Verfahren verwendeten Hash-Funktionen, die erste 
Hash-Funktion hi, die zweite Hash-Funkt ion h2 und die dritte 
15 Hash-Funktion h3 konnen durch die gleiche, aber auch durch 
verschiedene Hash-Funktionen realisiert warden. 

Zwei tes Ausftihrungsbei spiel 

20 In Figur 2 ist durch eine Skizze der Ablauf eines zweiten 
Ausf uhrungsbeispiels des Verfahrens dargestellt. 

Fur dieses Ausf uhrungsbeispiel des Verfahrens wird vorausge- 
setzt, daI5 in der ersten Computereinheit U ein vertrauenswur- 

25 diger offentlicher Benutzerschliissel KU der ersten Compu- 
tereinheit U in Form eines Benutzer zertif ikats CertU verfug- 
bar gemacht wird und dal3 in der zweiten Computereinheit N ein 
vertrauenswurdiger offentlicher Net zschliissel g^ der zweiten 
Computereinheit N in Form eines Net zzertif ikats CertN verfiig- 

30 bar gemacht wird. Der offentliche Net zschlussel g^ muli nicht 
in der ersten Computereinheit U verfugbar sein. Ebenso ist es 
nicht notig, daB der offentliche Benutzerschliissel KU in der 
zweiten Computereinheit N verfugbar ist. 

35 In der ersten Computereinheit U wird die erste Zufallszahl t 
generiert (Schritt 201). Aus der ersten Zufallszahl t wird 
mit Hilfe des erzeugenden Elements g einer endlichen Gruppe 
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in der ersten Computereinheit U der erste Wert gt gebildet 
(Schritt 202) . 

Nach der Berechnung des ersten Werts g^ wird eine erste Nach- 
5 richt Ml codiert, die mindestens den ersten Wert g^ und eine 
Identitatsangabe id^j^ einer Zertif izierungscomputereinheit 
CA, die das Net zzertif ikat CertN liefert, das von der ersten 
Computereinheit U verifiziert werden kann, aufweist. Die er- 
ste Nachricht Ml wird von der ersten Computereinheit U an die 
10 zweite Computereinheit N ubertragen (Schritt 203) . 

In der zweiten Computereinheit N wird die erste Nachricht Ml 
decodiert . 

15 Wie in Figur 2 beschrieben, wird in der zweiten Computerein- 
heit N eine zweite Zufallszahl r generiert wird (Schritt 

204) . Durch diesen zusatzlichen Verf ahrensschritt wird ein 
zusatzliches Sicherheitsziel realisiert: die Zusicherung der 
Frische (Aktualitat) eines im folgenden beschriebenen Sit- 

20 zungsschlussels K fiir die zweite Computereinheit N. 

In der zweiten Computereinheit N wird mit Hilfe der ersten 
Hash-Funktion hi der Sit zungsschlussel K gebildet (Schritt 

205) . Als erste Eingangsgrofie der ersten Hash-Funktion hi 

25 wird ein erster Term verwendet . Der erste Term wird gebildet, 
indem der erste Wert g^ potenziert wird mit dem geheimen 
Netzschliissel s. 

Wenn die zweite Zufallszahl r verwendet wird, so weist die 
30 erste EingangsgroBe der ersten Hash-Funktion hi zusatzlich 
mindestens die zweite Zufallszahl r auf. 

Nun wird in der zweiten Computereinheit N eine Antwort A ge- 
bildet (Schritt 206) . Zur Bildung der Antwort A sind die im 
35 Rahmen des ersten Ausf uhrungsbeispiels beschriebenen Varian- 
ten vorgesehen. 
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Eine Aneinanderreihung der zweiten Zufallszahl r, des Netz- 
zertifikats CertN, der Antwort A, sowie ein optionales erstes 
Datenfeld datl bilden die zweite Nachricht M2 . Das optionale 
erste Datenfeld datl ist nur in der zweiten Nachricht M2 ent- 
halten, wenn dies in dem Verfahren vorgesehen ist. 

Die zweite Nachricht M2 wird in der zweiten Computereinhei t N 
codiert und zu der ersten Computereinheit U ubertragen 
(Schritt 207) . 

In der ersten Computereinheit U wird die zweite Nachricht M2 
decodiert, so daiJ die erste Computereinheit U die zweite Zu- 
fallszahl r, die Antwort A sowie eventuell das optionale er- 
ste Datenfeld datl zur Verfugung hat. Die Lange des optiona- 
len ersten Datenfeldes datl kann beliebig groJi sein, d.h. es 
ist auch moglich^ daB das optionale erste Datenfeld datl 
nicht vorhanden ist. 

Anschlieflend wird das in der zweiten Nachricht M2 enthaltene 
20 Netzzertif ikat CertN in der ersten Computereinheit verifi- 
ziert. Somit steht der offentliche Net zschliissel g^ in der 
ersten Computereinheit U zur Verfugung. 

In der ersten Computereinheit U wird nun ebenfalls der Sit- 
25 zungsschlussel K gebildet (Schritt 208), mit Hilfe der ersten 
Hash-Funktion hi, die sowohl in der zweiten Computereinheit N 
als auch in der ersten Computereinheit U bekannt ist. Eine 
zweite Eingangsgrofie der ersten Hash-Funktion hi zur Bildung 
des Sitzungsschlussels K in der ersten Computereinheit U 
30 weist mindestens einen zweiten Term auf, Der zweite Term wird 
gebildet aus einer Exponentation des offentlichen Netzschliis- 
sels g^ mit der ersten Zufallszahl t. Wenn die Verwendung der 
zweiten Zufallszahl r in dem Verfahren zur Berechnung des 
Sitzungsschlussels K vorgesehen wird., so weist die zweite 
35 Eingangsgrofie der ersten Hash-Funktion hi zur Bildung des 

Sitzungsschlussels K in der ersten Computereinheit U zusatz- 
lich die zweite Zufallszahl r auf. 



10 



15 
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Durch die Verwendung der ersten Zufallszahl t und der zweiten 
Zufaliszahl r bei der Generierung des Sit zungsschlussels K 
wird die Aktualitat des Si t zungsschlussels K gewahrleistet , 
5 da jeweils die erste Zufallszahl t als auch die zweite Zu- 
fallszahl r nur fiir jeweils einen Sit zungsschltissel K verwen- 
det warden. Somit wird eine Wiedereinspielung eines alteren 
Schlussels als Sitzungsschliissel K verhindert. 

10 Nachdem in der ersten Coiaputereinheit U der Sitzungsschliissel 
K gebildet wurde, wird anhand der empfangenen Antwort A liber- 
pruft, ob der in der ersten Computereinheit U gebildete Sit- 
zungsschliissel K mit dem Sitzungsschliissel K, der in der 
zweiten Computereinheit N gebildet wurde, ubereinstimmt 

15 (Schritt 209) . 

Abhangig von den im vorigen beschriebenen Varianten zur Bil- 
dung der Antwort A sind verschiedene Moglichkeiten vorgese- 
hen, den Sitzungsschliissel K anhand der Antwort A zu iiberpru- 
2 0 fen. 

Zur Uberpriifung der Antwort A sind die im Rahmen des ersten 
Ausfiihrungsbei spiels beschriebenen Varianten vorgesehen , 
Damit wird das Ziel der Schlusselbestatigung des Sitzungs- 
25 schliissels K erreicht. 

Dadurch, daft bei der Berechnung des Sit zungsschliissels K in 
der zweiten Computereinheit N der geheime Net zschliissel s und 
bei der Berechnung des SitzungsschlUssels K in der ersten 

30 Computereinheit U der offentliche Net zschliissel g^ verwendet 
werden, wird die zweite Computereinheit N durch die erste 
Computereinheit U authenti f iziert , Dies wird erreicht, vor- 
ausgesetzt daft fiir die erste Computereinheit U bekannt ist, 
daB der offentliche Netzschlussel g^. tatsachlich zur zweiten 

35 Computereinheit N gehort . 
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Im Anschlufi an die Bestatigung des Sitzungsschlussels K durch 
Oberprlifung der Antwort A wird der Signaturterm berechnet 
(Schritt 210) . Hierzu wird mit Hilfe der dritten Hash- 
Funktion h3 eine vierte Eingangsgrolie gebildet. Die dritte 
5 Hash-Funktion h3 kann, muft aber nicht dieselbe Hash-Funktion 
sein wie die erste Hash-Funktion hi und/oder die zweite Hash- 
Funktion h2 , Als eine dritte EingangsgroJbe fiir die dritte 
Hash-Funktion h3 wird ein Term verwendet, der eine oder wei- 
tere GroBen aufweist, aus denen auf den Sit zungsschllissel 
10 eindeutig rlickgeschlossen werden kann. Weiterhin kann die 

dritte Eingangsgrolie das optionale erste Datenfeld datl oder 
auch ein optionales zweites Datenfeld dat2 enthalten, wenn 
deren Verwendung in dem Verfahren vorgesehen wird. 

15 Solche Grolien sind der erste Wert g^, der offentliche Netz- 
schlussel g^ sowie die zweite Zufallszahl r. 

Es kann spater nicht abgestritten werden, daii die Daten, die 
im ersten optionale Datenfeld datl und im zweiten optionalen 
20 Datenfeld dat2 enthalten sind, von der ersten Computereinhei t 
U gesendet wurden. 

Die in dem ersten optionalen Datenfeld datl und in dem zwei- 
ten optionalen Datenfeld dat2 enthaltenen Daten konnen Tele- 
25 fonnummern, die aktuelle Zeit oder ahnliche hierflir geeignete 
Parameter sein. Diese Information kann als Werkzeug fur eine 
unanf echtbare Gebiihrenabrechnung verwendet werden. 

Unter Verwendung einer ersten Signatur f unktion Sigy wird der 
30 Signaturterm aus mindestens der vierten EingangsgroBe gebil- 
det. Urn einen hoheren Sicherheitsgrad zu erzielen, kann der 
Signaturterm verschlusselt werden. Der Signaturterm wird in 
diesem Fall mit dem Sitzungsschlussel K unter Verwendung der 
Verschlusselungsf unktion Enc verschlusselt und bildet den er- 
35 sten verschliisselten Term VTl . 
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Auiierdem wird, falls das Sicherheitsziel "Anonymitat des Be- 
nutzers" realisiert werden soil, ein zweiter verschlusselter 
Term VT2 berechnet, in dem ein Benutzerzertif ikat CertU der 
ersten Computereinheit U mit dem Sit zungschlussel K mit Hilfe 
5 der Verschlusselungsf unktion Enc verschliisselt wird. Bei Ver- 
wendung eines optionalen zweiten Datenfeldes dat2 kann in der 
ersten Computereinheit U ein dritter verschlusselter Term VT3 
berechnet werden, indem das optionale zweite Datenfeld dat2 
mit dem Si t zungsschliissel K unter Verwendung der Verschlusse- 
10 lungsfunktion Enc verschliisselt wird. Das optionale zweite 

Datenfeld dat2 kann ebenso unverschliisel t tibertragen werden. 

Die drei verschlussel ten Terme konnen auch zu einem vierten 
verschlusselten Term VT4 zusammengef asst werden, in dem die 
15 Verkettung von Signaturterm, Ident itatsgroiie IMUI und optio- 
nalem zweiten Datenfeld dat2 mit K verschlusselt ist (Schritt 
211) . 

In der ersten Computereinheit U wird eine dritte Nachricht M3 
20 gebildet und codiert, die mindestens den Signaturterm und das 
Benutzerzertif ikat CertU der ersten Computereinheit U auf- 
weist. Falls die Benut zeranonymitat der ersten Computerein- 
heit U gewahrleistet werden soil, weist die dritte Nachricht 
M3 anstatt des Benutzerzertif ikats CertU der ersten Compu- 
25 tereinheit U mindestens entweder den zweiten verschlusselten 
Term VT2 oder den vierten verschlusselten Term VT4 auf , der 
das Benutzerzertif ikat CertU der ersten Computereinheit U in 
verschlusselter Form enthalt, die nur von der zweiten Compu- 
tereinheit N entschltisselt werden kann. 

30 

Wenn die Verwendung des optionalen zweiten Datenfelds dat2 
vorgesehen wird, weist die dritte Nachricht M3 zusatzlich 
mindestens den dritten verschlusselten Term VT 3 oder den 
vierten verschlusselten Term VT4 auf.. Wenn die dritte Nach- 
35 richt M3 den ersten verschlusselten Term VTl, den zweiten 
verschlusselten Term VT2 oder den dritten verschlusselten 
Term VT3 oder den vierten verschlusselten Term VT4 aufweist. 
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werden diese in der zweiten Computereinheit N entschltlsselt . 
Dies geschieht flir den eventuell vorhandenen ersten ver- 
schlusselten Term VTl vor der Verifikation des Signaturterms . 

5 Die dritte Nachricht M3 wird von der ersten Computereinheit U 
zu der zweiten Computereinheit N iibertragen (Schritt 212) . 

In der zweiten Computereinheit N wird die dritte Nachricht M3 
decodiert, entschliisselt und anschliefiend wird anhand eines 
10 Benuter zertif ikats CertU, das der zweiten Computereinheit N 
zur Verfugung steht, der Signaturterm verifiziert (Schritt 
213) , 

Zusatzlich wird die Authentif ikation der ersten Computerein- 
15 heit U gegeniiber der zweiten Computereinheit N durch den Si- 
gnaturterm gewahrleistet , der die Zufallszahl r" enthalt, 
durch deren Verwendung garantiert wird, dafi die dritte Nach- 
richt M3 tatsachlich aktuell von der ersten Computereinheit U 
gesendet wurde . 

20 

Wenn flir das Verfahren temporare Benut zerident itaten vorgese- 
hen werden, so wird das im vorigen beschriebene Verfahren um 
einige Ver f ahrensschritte erweitert. 

25 In der zweiten Computereinheit N wird fiir die erste Compu- 
tereinheit U eine neue temporare Identitatsgrofie TMUIN gebil- 
det, die der ersten Computereinheit U im weiteren zugewiesen 
wid. Dies kann durch Generierung einer Zufallszahl oder durch 
Tabellen, in denen mogliche IdentitatsgroBen abgespeichert 

30 sind, durchgefiihrt werden, Aus der neuen temporaren Identi- 
tatsgroJie TMUIN der ersten Computereinheit U wird in der 
zweiten Computereinheit N ein fiinfter verschlusselter Term 
VT5 gebildet, indem die neue temporare IdentitatsgroBe TMUIN 
der ersten Computereinheit U mit dem. Sitzungsschliissel K un- 

35 ter Verwendung der Verschlusselungsf unktion Enc verschlusselt 
wird . 
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In diesem Fall weist die zweite Nachricht M2 zusatzlich min- 
destens den funften verschlusselten Term VT5 auf . Der fUnfte 
verschlusselte Term VT5 wird dann in der ersten Computerein- 
heit U entschlusselt . Nun ist die neue temporare Identitats- 
5 groiie TMUIN der ersten Computereinheit U in der ersten Compu- 
tereinheit U verfiigbar, 

Damit der zweiten Computereinheit N auch gewahrleistet wird, 
daii die erste Computereinheit U die neue temporare Identi- 
10 tatsgroiie TMUIN korrekt empfangen hat, weist die dritte Ein- 
gangsgroiie fur die erste Hash-Funktion hi oder fur die dritte 
Hash-Funktion h3 zusatzlich mindestens die neue temporare 
Identitatsgrofte TMUIN der ersten Computereinheit U auf. 

15 Es ist auch moglich, die neue temporare IdentitatsgroBe TMUIN 
nicht in den Signaturterm zu integrieren, sondern den zweiten 
verschlusselten Term VT2 zu bilden, indem die neue temporare 
Identitatsgrofie TMUIN der ersten Computereinheit U mit dem 
Sitzungsschliissel K unter Verwendung der Verschlusselungs- 

20 funktion Enc verschlusselt wird. In diesem Fall weist die 
dritte Nachricht M3 zusatzlich den zweiten verschlusselten 
Term VT2 auf. 

Drittes Ausf tihrungsbeispiel 

25 

In Figur 3 ist durch eine Skizze der Ablauf eines dritten 
Ausf iihrungsbeispiels dargestellt . 

Fur dieses Ausf tihrungsbeispiel des Verfahrens wird vorausge- 
30 setzt, daJ3 in der ersten Computereinheit U kein vertrauens- 
wiirdiger offentlicher Net zschlussel g^ der zweiten Compu- 
tereinheit N verfugbar ist. In der ersten Computereinheit U 
ist ein vertrauenswurdiger offentlicher Zertif izierungs- 
schlussel cs einer Zertif izierungscomputereinheit CA verfiig- 
35 bar. Dies bedeutet, dafi die erste Computereinheit U sich den 
vertrauenswurdigen offentlichen Netzschlussel g^ in Form ei- 
nes Netzzertif ikats CertN von der Zertif izierungscomputerein- 
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heit CA "besorgen" muB . Ebenso braucht die zweite Compu- 
tereinheit N den vertrauenswurdigen offentlichen Benutzer- 
schussel KU in Form eines Benutzerzertif ikats CertU von der 
Zertif izierungscomputereinheit CA. 

5 

In der ersten Computereinheit U wird die erste Zufallszahl t 
generiert (Schritt 301). Aus der ersten Zufallszahl t wird 
mit Hilfe des erzeugenden Elements g einer endlichen Gruppe 
in der ersten Computereinheit U der erste Wert g**^ gebildet 
10 (Schritt 302) . 

Nach der Berechnung des ersten Werts g^ wird eine erste Nach- 
richt Ml codiert, die mindestens den ersten Wert g"^' eine 
Identitatsgrofie IMUI der ersten Computereinheit U und eine 

15 Identitatsgrofie id^^^ einer Zertif izierungscomputereinheit CA, 
die ein Netzzertif ikat CertN liefert, das von der ersten Com- 
putereinheit U verifiziert werden kann, aufweist. Dies ist 
notig, wenn mehrere Zertif izierungsinstanzen mit unterschied- 
lichen geheimen Zertif izierungsschlusseln vorgesehen werden. 

20 Wenn das Sicherheitsziel der Benutzeranonymitat realisiert 

werden soil, wird in der ersten Computereinheit U vor Bildung 
der ersten Nachricht Ml ein Zwischenschliissel L gebildet. 
Dies geschieht durch Potenzierung des offentlichen Schllissel- 
vereinbarungss chilis se Is g^ der Zertif izierungscomputereinheit 

25 CA/ der in der ersten Computereinheit U verfugbar ist, mit 

der ersten Zufallszahl t. Im weiteren wird in diesem Fall die 
Identitatsgroiie IMUI der ersten Computereinheit U mit dem 
Zwischenschliissel L unter Anwendung einer Verschliisselungs- 
funktion Enc verschliissel t und das Ergebnis stellt einen 

30 funften verschliisselten Term VT5 dar . Der funfte verschliis- 
selte Term VT5 wird anstatt der Identitatsgroiie IMUI der er- 
sten Computereinheit U in die erste Nachricht Ml integriert. 
Die erste Nachricht Ml wird von der ersten Computereinheit U 
an die zweiten Computereinheit N iibertragen (Schritt 303). 

35 

In der zweiten Computereinheit N wird die erste Nachricht Ml 
decodiert, und eine vierte Nachricht M4 gebildet (Schritt 
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304), die eine Verkettung des der zweiten Computereinheit N 
bekannten Zertifikats CertN auf den offentlichen Netzschlus- 
sel gS, dem ersten Wert g^ und der Identitatsgrolie IMUI der 
ersten Computereinheit U aufweist. In deiti Fall, daJJ das Si- 
cherheitsziel der Benutzeranonymi tat realisiert werden soli, 
wird in der vierten Nachricht M4 anstatt der IdentitatsgroBe 
IMUI der ersten Computereinheit U der fiinfte verschlusselte 
Term VT5 codiert. 

Die vierte Nachricht M4 wird in der zweiten Computereinheit N 
codiert und anschlieliend an die Zertif izierungscomputerein- 
heit CA iibertragen (Schritt 304) . 

In der Zertif izierungscomputereinheit CA wird die vierte 
Nachricht M4 decodiert. 

Anschlieliend wird, falls die Benutzeranonymitat gewahrleistet 
wird, also der funfte verschlusselte Term VT5 in der vierten 
Nachricht M4 mitgesendet wurde, in der Zertif izierungscompu- 
tereinheit CA der Zwischenschlussel L berechnet, indem der 
erste Wert gt mit einem geheimen Schlussel vereinbarungs- 
schlussel u der Zertif izierungscomputereinheit CA potenziert 
wird. 

Mit dem Zwischenschlussel L wird unter Verwendung der Ver- 
schlusselungsf unktion Enc der funfte verschlusselte Term VT5 
entschliisselt, womit in der Zertif izierungscomputereinheit CA 
die IdentitatsgroBe IMUI der ersten Computereinheit U bekannt 
ist . 

In der Zertif izierungscomputereinheit CA wird dann das Benut- 
zerzertif ikat CertU ermittelt. Das Benutzerzertif ikat CertU 
wird aus einer der Zertif izierungscomputereinheit CA eigenen 
Datenbank ermittelt, die alle Zertifikate der Computereinhei- 
ten enthalt, fur die die Zertif izierungscomputereinheit CA 
Zertifikate erstellt. 
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Um die Gultigkeit des Netzzertif ikats CertN und des Benutzer- 
zertifikats CertU zu uberpriifen, wird eine Identitatsangabe 
idjyf der Net zcomputereinheit N und der in der vierten Nach- 
richt mitgesendete offentliche Netzschliissel , die Identi- 
5 tatsgroiie IMUI der ersten Computereinheit U sowie das ermit- 
telte Benutzerzertif ikat CertU mit einer Revokationsliste 
vergiichen, in der ungultige Zertifikate, Schliissel oder 
Identitatsgroiien aufgeftihrt sind. 

10 Anschlieflend bildet die Zertif izierungscomputereinheit CA 
drei Ketten von Zertif ikaten, eine erste Zertif ikatskette 
CertChain(U, N) , eine zweite Zertif ikatskette CertChain(N, 
U) sowie eine dritte Zertif ikatskette CertChain(N, CA) , 

15 Die erste Zertif ikatskette CertChain{U, N) kann von der er- 
sten Computereinheit U mittels des der ersten Computereinheit 
U bekannten offentlichen Zertif izierungsschlussels der Zerti- 
f izierungscomputereinheit CA verifiziert werden und enthalt 
als letztes Glied ein Zertifikat CertN auf den offentlichen 

20 Schliissel g^ von der zweiten Computereinheit N. 

Die zweite Zertif ikatskette CertChain{N, U) kann von der 
zweiten Computereinheit N verifiziert werden und enthalt als 
letztes Glied ein Zertifikat CertU auf den offentlichen 
25 Schliissel KU von der ersten Computereinheit U. 

Die dritte Zertif ikatskette CertChain(N, CA) kann von der 
zweiten Computereinheit N verifiziert werden und enthalt als 
letztes Glied ein Zertifikat auf den offentlichen Verifikati- 
30 onsschlussels von der Zertif izierungscomputereinheit CA. 

Die erste Zertif ikatskette CertChain(U, N) und die zweite 
Zertif ikatskette CertChain(N, U) konnen eindeutig identifi- 
ziert werden durch die Identif ikatoren cidU und cidN. 

35 

Anschlieiiend wird aus mindestens einer Verkettung des ersten 
Werts g^ und der Identif ikatoren cidU und cidN 
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ein dritter Term gebildet. 

Der dritte Term wird mit Hilfe einer vierten Hash-Funktion h4 
"gehasht" und das Ergebnis der Hash-Funktion h4 wird unter 
5 Verwendung einer dritten Signaturf unktion Sig^p^ signiert. 

Weiterhin wird in der Zertif izierungscomputereinheit CA ein 
Zeitstempel TS kreiert. Dieser findet optional Eingang in den 
dritten Term. 

10 

Eine in der Zertif izierungscomputereinheit CA gebildete funf- 
te Nachricht MS weist mindestens eine Verkettung aus dem si- 
gnierten dritten Term und den Zertif ikatsketten CertChain (U, 
N) und CertChain{N, U) sowie optional den Zeitstempel TS und 
15 die Zertif ikatskette CertChain (N, CA) auf. Optional werden 

der signierte Hash-Wert des dritten Terms sowie die Zertifi- 
katskette CertChain (N, U) mit dem Zwischenschlussel L ver- 
schliisselt . 

20 Die funfte Nachricht M5 wird in der Zertif izierungscomputer- 
einheit CA codiert und an die zweite Computereinhei t N uber- 
tragen {Schritt 305) . Nachdem die funfte Nachricht M5 in der 
zweiten Computereinhei t N decodiert ist, wird der signierte 
Hash-Werts des dritten Terms verifiziert, sofern er nicht mit 

25 L verschliisselt ist. 

In der zweiten Computereinheit N wird nun ein vierter Term 
gebildet, der mindestens eine Verkettung der Zertif ikatskette 
CertChain{U, N) und des (optional mit dem Zwischenschlussel L 
30 verschltisselten) signierten Hash-Werts des dritten Terms auf- 
weist • 

In der zweiten Computereinheit N wird mit Hilfe der ersten 
Hash-Funktion hi ein Sit zungsschliiss.el K gebildet. Als eine 
35 erste EingangsgroJie der ersten Hash-Funktion hi wird eine Ko- 
katenation eines ersten Terms mit der zweiten Zufallszahl r 
verwendet. Der erste Term wird gebildet, indem der erste Wert 
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g't potenziert wird mit einem geheimen Netzschlussel s. Die 
zweite Zufallszahl r findet Verwendung, wenn das zusatzliche 
Sicherheitsziel der Zusicherung der Frische (Aktualitat) des 
Sitzungsschliissels K fiir die zweiten Computereinheit N reali- 
5 siert werden soli. 1st dieses Sicherheitsziel nicht benotigt, 
wird die zweite Zufallszahl r nicht in dem Verfahren zur Be- 
rechnung des Sitzungsschliissels K verwendet. 

In der zweiten Computereinheit N wird eine Antwort A gebil- 
10 det. Zur Bildung der Antwort A sind die in dem ersten Ausfuh- 
rungsbeispiel beschriebenen Varianten vorgesehen. 

Eine Aneinanderreihung der zweiten Zufallszahl r, des vierten 
Terms, der Antwort A, sowie eines optionalen ersten Datenfel- 
15 des datl und des optionalen Zeitstempels bilden eine zweite 
Nachricht M2 . Das optionale erste Datenfeld datl ist nur in 
der zweiten Nachricht M2 enthalten, wenn dies in dem Verfah- 
ren vorgesehen wird. 

20 Die zweite Nachricht M2 wird in der zweiten Computereinheit N 
codiert und zu der ersten Computereinheit U ubertragen 
(Schritt 306) , 

In der ersten Computereinheit U wird die zweite Nachricht M2 
25 decodiert, so dal2» die ersten Computereinheit U die zweite Zu- 
fallszahl r, die Antwort A sowie eventuell das optionale er- 
ste Datenfeld datl und eventuell den Zeitstempel TS zur Ver- 
fugung hat. Die Lange des optionalen ersten Datenfeldes datl 
kann beliebig groli sein, d.h. es ist auch moglich, daB das 
30 optionale erste Datenfeld datl nicht vorhanden ist. 

In der ersten Computereinheit U wird nun ebenfalls der Sit- 
zungsschlussel K gebildet (Schritt 307), mit Hilfe der ersten 
Hash-Funktion hi, die sowohl der zweiten Computereinheit N 
35 als auch der ersten Computereinheit U bekannt ist. Eine zwei- 
te Eingangsgrofte der ersten Hash-Funktion hi zur Bildung des 
Sitzungsschliissels K in der ersten Computereinheit U weist 
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bildet aus einer Exponentation eines offentlichen Netzschlus- 
sels gS mit der ersten Zufallszahl t. Wenn die zweite Zu- 
fallszahl r in dem Verfahren zur Berechnung des Sitzungs- 
5 schlussels K vorgesehen wird, so weist die zweite Eingangs- 
groiJe der ersten Hash-Funktion hi zur Bildung des Sitzungs- 
schlussels K in der ersten Computereinheit U zusatzlich die 
zweite Zufallszahl r auf. 

10 Nachdem in der ersten Computereinheit U der Sitzungsschliissel 
K gebildet wurde, wird anhand der empfangenen Antwort A uber- 
prlift, ob der in der ersten Computereinheit U gebildete Sit- 
zungsschlussel K mit dem Sitzungsschliissel K, der in der 
zweiten Computereinheit N gebildet wurde, ubereinstimmt 

15 (Schritt 308) . 

Abhangig von den im vorigen beschriebenen Varianten zur Bil- 
dung der Antwort A sind die oben beschriebenen Moglichkei ten 
vorgesehen, den Sitzungsschlussel K anhand der Antwort A zu 
20 iiberpriifen. 

Dadurch, dafi bei der Berechnung des Sitzungsschlussels K in 
der zweiten Computereinheit N der geheime Net zschlussel s und 
bei der Berechnung des Sitzungsschlussels K in der ersten 

25 Computereinheit U der offentliche Net zschlussel g^ verwendet 
werden, wird die zweiten Computereinheit N durch die ersten 
Computereinheit U authentif iziert . Dies wird erreicht, vor- 
ausgesetzt daB fur die erste Computereinheit U bekannt ist, 
dafi der offentliche Net zschlussel gS tatsachlich zur zweiten 

30 Computereinheit N gehort . Letzteres wird von U erreicht durch 
die Verifikation der Zertif ikatskette CertChain {U, N) sowie 
des signierten Hashwerts des dritten Terms. 1st letzterer mit 
dem Zwischenschlussel L verschlusselt , muR er vor der Verifi- 
kation mit dem Zwischenschlussel L entschlusselt werden. 

35 

Im Anschluli an die Bestatigung des Sitzungsschlussels K durch 
Uberprufung der Antwort A wird ein Signaturterm berechnet 
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(Schritt 309) . Hierzu wird mit Hilfe einer dritten Hash- 
Funktion h3 eine vierte Eingangsgrofie gebildet. Die dritte 
Hash-Funktion h3 kann, muB aber nicht dieselbe Hash-Funktion 
sein wie die erste Hash-Funktion hi und/oder die zweite Hash- 
5 Funktion h2 . Als eine dritte Eingangsgrolie fur die dritte 

Hash-Funktion h3 wird ein Term verwendet, der eine oder wei- 
tere Grofien aufweist, aus denen auf den Sitzungsschlussel 
eindeutig rtickgeschlossen werden kann. Weiterhin kann die 
dritte Eingangsgrolie das optionale erste Datenfeld datl oder 
10 auch ein optionales zweites Datenfeld dat2 enthalten, wenn 
deren Verwendung in dem Verfahren vorgesehen wird. 

Seiche Grofien sind der erste Wert g^, der offentliche Netz- 
schlussel g^ sowie die zweite Zufallszahl r. 

15 

Es kann spater nicht abgestritten werden, dafi die Daten, die 
im ersten optionale Datenfeld datl und im zweiten optionalen 
Datenfeld dat2 enthalten sind, von der ersten Computereinhei t 
U gesendet werden. 

20 

Die in dem ersten optionalen Datenfeld datl und in dem zwei- 
ten optionalen Datenfeld dat2 enthaltenen Daten konnen Tele- 
fonnummern, die aktuelle Zeit oder ahnliche hierfur geeignete 
Parameter sein. Diese Information kann als Werkzeug fur eine 
2 5 unanf echtbare Gebuhrenabrechnung verwendet werden. 

Unter Verwendung einer ersten Signaturf unktion Sig^ wird der 
Signaturterm aus mindestens der vierten Eingangsgrofie gebil- 
det. Um einen hoheren Sicherheitsgrad zu erzielen, kann der 
30 Signaturterm verschlusselt werden. Der Signaturterm wird in 
diesem Fall mit dem Sitzungsschlussel K unter Verwendung der 
Verschlusselungsf unktion Enc verschlusselt und bildet den er- 
sten verschltisselten Term VTl . 

35 Bei Verwendung eines optionalen zweiten Datenfeldes dat2 wird 
in der ersten Computereinheit U ein dritter verschlusselter 
Term VT3 berechnet, indem das optionale zweite Datenfeld dat2 
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mit dem Sit zungsschliissel K unter Verwendung der Verschliisse- 
lungsfunktion Enc verschlusselt wird. Das optionale zweite 
Datenfeld dat2 kann auch unverschltisselt , also im Klartext 
iibertragen warden . 

5 

Alternativ zur Bildung des ersten und des dritten verschltis- 
selten Terms VTl und VT3 kann auch ein vierter verschliissel- 
ten Term VT4 gebildet werden, indem mindestens die Verkettung 
des Signaturterms sowie optional des Datenfeldes dat2 und des 
10 Zwischenschltissels L mit dem Sitzungsschliissel K verschlus- 
selt wird (Schritt 310) . 

In der ersten Computereinheit U wird eine dritte Nachricht M3 
gebildet und codiert, die mindestens aus dem ersten ver- 
schlusselten Term VTl, und, wenn das optionale zweite Daten- 
15 feld dat2 verwendet wird, dem dritten verschlussel ten Term 
VT3 Oder dem optionalen zweiten Datenfeld dat2 im Klartext, 
Oder aber aus dem vierten verschlusselten Term VT4 besteht. 

Die dritte Nachricht M3 wird von der ersten Computereinheit U 
20 zu der zweiten Computereinheit N ubertragen (Schritt 311) . 



In der zweiten Computereinheit N wird die dritte Nachricht M3 
25 decodiert und anschlieUend wird der erste verschlusselte Term 
VTl sowie eventuell der dritte verschlusselte Term VT3, oder 
aber der vierte verschlusselte Term VT4 entschlusselt . Wurden 
Telle der Nachricht M5 mit L verschlusselt, so kann nun die 
zweite Computereinheit N mit Hilfe des in Nachricht M3 emp- 
30 fangenen Zwischenschltissels L die verschlusselten Telle der 
Nachricht M5 entschlusseln , Daraufhin kann die zweite Compu- 
tereinheit N die zweite Zertif ikatskette Cert (N, U) sowie den 
signierten Hashwert des dritten Terms unter Anwendung des of- 
fentlichen Verif ikationsschlussels von CA verif izieren . An- 
35 hand des Benuter zertif ikats CertU, das der zweiten Compu- 
tereinheit N nun zur Verfugung steht, wird der Signaturterm 
verifiziert* 
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Zusatzlich wird die Authentif ikation der ersten Coitiputerein- 
heit U gegenuber der zweiten Computereinheit N durch den Si- 
gnaturterm in der dritten Nachricht M3 gewahrleistet , der die 
Zufallszahl r enthalt, durch deren Verwendung auch garantiert 
5 wird, dali die dritte Nachricht M3 tatsachlich aktuell von der 
ersten Computereinheit U gesendet wurde - 

Wenn flir das Verfahren temporare Benutzeridentitaten vorgese- 
hen werden, so wird das im vorigen beschriebene Verfahren um 
10 einige Verf ahrensschritte erweitert. 

In der zweiten Computereinheit N wird fiir die erste Compu- 
tereinheit U eine neue temporare Identitatsgrofte TMUIN gebil- 
det, die der ersten Computereinheit U im weiteren zugewiesen 

15 wird. Dies kann 2. B. durch Generierung einer Zufallszahl 

Oder durch Tabellen, in denen mogliche Identitatsgrolien abge- 
speichert sind, durchgeftihrt werden. Aus der neuen temporaren 
Identitatsgrofie TMUIN der ersten Computereinheit U wird in 
der zweiten Computereinheit N ein ftinfter verschlussel ter 

20 Term VT5 gebildet, indem die neue temporare Identitatsgroiie 
TMUIN der ersten Computereinheit U mit dem Sit zungsschlussel 
K unter Verwendung der Verschliisselungsf unktion Enc ver- 
schlusselt wird- 

25 In diesem Fall weist die zweite Nachricht M2 zusatzlich min- 
destens den ftinften verschlusselten Term VT5 auf . Der fiinfte 
verschlusselte Term VT5 wird dann in der ersten Computerein- 
heit U entschlusselt . Nun ist die neue temporare Identitats- 
groiie TMUIN der ersten Computereinheit U in der ersten Compu- 

30 tereinheit U verfugbar. 

Damit der zweiten Computereinheit N auch gewahrleistet wird, 
dali die erste Computereinheit U die neue temporare Identi- 
tatsgrofie TMUIN korrekt empfangen hat, weist die dritte Ein- 
35 gangsgroBe fur die erste Hash-Funktion hi oder fiir die zweite 
Hash-Funktion h2 zusatzlich mindestens die neue temporare 
Identitatsgroiie TMUIN der ersten Computereinheit U auf. 



wo 99/60747 



PCT/DE99/01365 



36 

Ira weiteren warden einige Alternativen der oben beschriebenen 
Ausf tihrungsbeispiele auf gezeigt : 

5 Die Erfindung beschrankt sich nicht auf ein Mobilf unksystem 
und somit auch nicht auf einen Benutzer eines Mobilfunksy- 
stems und das Netz, sondern kann in alien Bereichen angewen- 
det werden, in denen ein kryptographischer Schlusselaus tausch 
zwischen zwei Kommunikationspartnern benotigt wird. Dies kann 

10 z.B, in einer Kommunikationsbeziehung zwischen zwei Rechnern, 
die Daten in verschllisselter Forin austauschen wollen, der 
Fall sein. Ohne Beschrankung der Allgemeingiiltigkeit wurde 
oben ein erster Kommunikationspartner als erste Computerein- 
heit U und ein zweiter Kommunikationspartner als zweite Com- 

15 putereinheit N bezeichnet. 
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Patent anspriiche 

1, Verfahren zum rechnergesttitzten Austausch kryptographi- 
scher Schliissel zwischen einer ersten Computereinheit (U) und 
5 einer zweiten Computereinheit (N) , 

- bei dem aus einer ersten Zufallszahl (t) mit Hilfe eines 
erzeugenden Elements (g) einer endlichen Gruppe in der er- 
sten Computereinheit (U) ein erster Wert (gt) gebildet 
wird, 

10 - bei dem eine erste Nachricht (Ml) von der ersten Compu- 
tereinheit (U) an die zweite Computereinheit (N) tibertragen 
wird, wobei die ersten Nachricht (Ml) mindestens den ersten 
Wert (g"^) aufweist, 

- bei dem in der zweiten Computereinheit (N) ein Sitzungs- 

15 schlussel (K) mit Hilfe einer ersten Hash-Funktion (hi) ge- 

bildet wird, wobei eine erste EingangsgroBe der ersten 
Hash-Funktion (hi) mindestens einen ersten Term aufweist, 
der gebildet wird durch eine Exponentiation des ersten 
Werts (g^) mit einem geheimen Netzschlussel (s), 

20 - bei dem in der ersten Computereinheit (U) der Sitzungs- 
schlussel (K) gebildet wird mit Hilfe der ersten Hash- 
Funktion (hi), wobei eine zweite EingangsgroUe der ersten 
Hash-Funktion (hi) mindestens einen zweiten Term aufweist, 
der gebildet wird durch eine Exponentiation eines offentli- 

25 Chen Net zschlussels (gS) mit der ersten Zufallszahl (t) , 

- bei dem in der ersten Computereinheit (U) mit Hilfe einer 
zweiten Hash-Funktion (h2) oder der ersten Hash-Funktion 
(hi) eine vierte EingangsgroBe gebildet wird, wobei eine 
dritte EingangsgroBe fiir die erste Hash-Funktion (hi) oder 

30 fur die zweite Hash-Funktion (h2) zur Bildung der vierten 

EingangsgroBe eine oder weitere GroBen aufweist, aus denen 
auf den Sitzungsschlussel eindeutig riickgeschlossen werden 
kann. 

- bei dem in der ersten Computereinheit (U) ein Signaturterm 
35 aus mindestens der vierten EingangsgroBe gebildet wird un- 

ter Anwendung einer ersten Signaturf unktion (Sigu) / 
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- bei dem eine dritte Nachricht (M3) von der ersten Coitipu- 
tereinheit (U) an die zweite Computereinhei t (N) ubertragen 
wird, wobei die dritte Nachricht (M3) mindestens den Signa- 
turterm der ersten Computereinheit (U) aufweist, und 

- bei dem in der zweiten Computereinheit (N) der Signaturterm 
verifiziert wird. 

2. Verfahren nach Anspruch 1^ 

bei dem der geheime Net zschlussel und/oder der offentliche 
Netzschlussel langlebige Schlussel ist/sind. 

3. Verfahren nach Anspruch 1 oder 2, 

bei dem die dritte EingangsgroJie mehrere GroJien aufweist, aus 
denen auf den Sitzungsschlussel eindeutig rtickgeschlossen 
werden kann. 

4, Verfahren nach einem der Anspruche 1 bis 3, 

bei dem die GroiJe bzw. die Groiien mindestens zumindest den 
ersten Wert (g^) und/oder den offentlichen Netzschlussel (g^) 
enthalt bzw. enthalten. 

5, Verfahren nach einem der Anspruche 1 bis 4, 

- bei dem die erste Nachricht (Ml) eine Identitatsangabe 
(idcjv) einer Zertif izierungscomputereinheit (CA) , die ein 

Netzzertif ikat (CertN) oder eine Kette von Zertif ikaten, 
deren letztes das Net zzertif ikat (CertN) ist, liefert, das 
Oder die von der ersten Computereinheit (U) verifiziert 
werden kann, aufweist, 

- bei dem eine zweite Nachricht (M2) von der zweiten Compu- 
tereinheit (N) an die erste Computereinheit (U) ubertragen 
wird, wobei die zweite Nachricht (M2) mindestens das Netz- 
zertifikat (CertN) oder die Kette von Zertif ikaten, deren 
letztes das Netzzertif ikat (CertN) ist, aufweist, und 

- bei dem in der ersten Computereinheit (U) das Netzzertifi- 
kat (CertN) oder die Kette von Zertif ikaten, deren letztes 
das Netzzertif ikat (CertN) ist, verifiziert wird. 
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6. Verfahren nach Anspruch 5, 

- bei dem eine dritte Nachricht (M3) von der ersten Compu- 
tereinheit (U) an die zweite Computereinheit (N) ubertragen 
wird, wobei die dritte Nachricht {M3) ein Benutzerzertif i- 

5 kat (CertU) oder eine Kette von Zertif ikaten, deren letztes 

das Benutzerzertif ikat (CertU) ist, aufweist, 

- bei dem in der zweiten Computereinheit (N) das Benutzerzer- 
tifikat (CertU) oder die Kette von Zertif ikaten, deren 
letztes das Benutzerzertif ikat (CertU) ist, verifiziert 

10 wird. 

7. Verfahren nach einem der Anspriiche 1 bis 6, 

~ bei dem die erste Nachricht (Ml) eine IdentitatsgroBe 

(IMUI) der ersten Computereinheit (U) und eine Identitats- 
15 angabe (id^j^) einer Zertif izierungscomputereinheit (CA) , 

die der ersten Computereinheit (U) ein Netzzertif ikat 
(CertN) liefert, das von der ersten Computereinheit (U) ve- 
rifiziert werden kann, aufweist, 

- bei dem eine vierte Nachricht (M4) von der zweiten Compu- 
20 tereinheit (N) an die Zertif izierungscomputereinheit (CA) 

ubertragen wird, wobei die vierte Nachricht (M4) mindestens 
den ersten Wert (g^) als Eingangsgrolie aufweist, 

- bei dem eine fiinfte Nachricht (M5) , die mindestens das 
Netzzertif ikat (CertN) oder eine Zertif ikatskette, deren 

25 letztes Glied das Netzzertif ikat (CertN) ist, oder das Be- 

nutzerzertif ikat (CertU) Oder eine Zertif ikatskette, deren 
letztes Glied das Benutzerzertif ikat (CertU) ist, aufweist, 
von der Zertif izierungscomputereinheit (CA) zu der zweiten 
Computereinheit (N) ubertragen wird, 

30 

8. Verfahren nach einem der Anspriiche 1 bis 1, 

- bei dem eine vierte Nachricht (M4) von der zweiten Compu- 
tereinheit (N) an die Zertif izierungscomputereinheit (CA) 

35 ubertragen wird, wobei die vierte Nachricht (M4 ) mindestens 
den offentlichen Netzschltissel (g^) , den ersten Wert (g^) , 
die Identitatsgrolie (IMUI) der ersten Computereinheit (U) 
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als EingangsgroBe aufweist und wobei eine Ausgangsgroiie ei- 
ner dritten Hash-Funktion (h3) unter Verwendung einer zwei- 
ten Signaturf unktion (Sig^) signiert wird, 

- bei dem in der Zertif izierungscomputereinheit (CA) der er- 
5 ste signierte Term verifiziert wird, 

- bei dem in der Zertif izierungscomputereinheit (CA) ein 
dritter Term gebildet wird, der mindestens den ersten Wert 
(gt), den offentlichen Netzschlussel (g^) und eine Identi- 
tatsangabe (idj^) der zweiten Computereinheit (N) aufweist, 

10 " bei dem in der Zertif izierungscomputereinheit (CA) unter 
Verwendung einer vierten Hash-Funktion (h4) ein Hash-Wert 
uber den dritten Term gebildet wird, 

- bei dem in der Zertif izierungscomputereinheit (CA) der 
Hash-Wert liber den dritten Term unter Verwendung einer 

15 dritten Signaturf unktion (Sig^j^) signiert wird, 

- bei dem in der Zertif i zierungscomputereinheit (CA) ein 
Netzzertif ikat (CertN) gebildet wird, das mindestens den 
dritten Term und den signierten Hash-Wert des dritten Terms 
aufweist, 

20 - bei dem in der Zertif izierungscomputereinheit (CA) auf ei- 
nen funften Term der mindestens die Identitatsangabe (id^^) 
der zweiten Computereinheit (N) und ein Benutzer zertif ikat 
(CertU) aufweist, eine vierte Hash-Funktion (h4) angewendet 
wird, 

25 - bei dem der Hash-Wert des funften Terms durch Verwendung 

der dritten Signaturf unktion (Sig^j^) mit dem geheimen Zer- 
tif izierungsschliissel (cs) signiert und das Ergebnis den 
zweiten signierten Term darstellt, 

- bei dem eine fiinfte Nachricht (MS) , die mindestens das 
30 Netzzertif ikat (CertN) , den funften Term und den zweiten 

signierten Term aufweist, von der Zertif izierungscompu- 
tereinheit (CA) zu der zweiten Computereinheit (N) libertra- 
gen wird, 

- bei dem in der zweiten Computereinheit (N) das Netzzertifi- 
35 kat (CertN) und der zweite signierte Term verifiziert wer- 

den. 
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- bei dem in der zweiten Computereinheit (N) ein vierter 
Term, der mindestens den offentlichen Netzschliissel (g^) 
und den signierten Hash-Wert des dritten Terms aufweist, 
gebildet wird, 

5 - bei dem eine zweite Nachricht (M2) von der zweiten Compu- 
tereinheit (N) an die erste Computereinheit (U) ubertragen 
wird, wobei die zweite Nachricht {M2) mindestens den vier- 
ten Term aufweist, und 

- bei dem in der ersten Computereinheit (U) das Netzzertifi- 
10 kat (CertN) verifiziert wird. 

9. Verfahren nach einem der Anspriiche 1 bis 8, 

- bei dem die erste Nachricht (Ml) eine Identitatsgroiie 
(IMUI) der ersten Computereinheit (U) und eine Identitats- 

15 angabe (id^j^) einer Zertif izierungscomputereinhei t (CA) , 

die der ersten Computereinheit (U) ein Netzzertif ikat 
(CertN) Oder eine Kette von Zertif ikaten, deren letztes das 
Netzzertif ikat (CertN) ist, liefert, das oder die von der 
ersten Computereinheit (U) verifiziert werden kann oder 

20 konnen, aufweist, 

- bei dem eine vierte Nachricht (M4) von der zweiten Compu- 
tereinheit (N) an die Zertif izierungscomputereinheit (CA) 
ubertragen wird, wobei die vierte Nachricht (M4 ) mindestens 
ein Zertifikat auf den offentlichen Netzschliissel (gS) , den 

25 ersten Wert (g''^)und die Identitatsgroiie (IMUI) der ersten 

Computereinheit (U) aufweist, 

- bei dem in der Zertif izierungscomputereinheit (CA) ein 
dritter Term gebildet wird, der mindestens den offentlichen 
Netzschlussel (gS)oder eine Grolie, die den offentlichen 

30 Netzschlussel (g^) eindeutig bestimmt, aufweist, 

- bei dem in der Zertif izierungscomputereinheit (CA) unter 
Verwendung einer vierten Hash-Funktion (h4) ein Hash-Wert 
liber den dritten Term gebildet wird, 

- bei dem in der Zertif izierungscomputereinheit (CA) der 
35 Hash-Wert uber den dritten Term unter Verwendung einer 

dritten Signaturf unktion (Sig^A) signiert wird. 
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- bei dem eine funfte Nachricht (M5) , die mindestens den si- 
gnierten Hash-Wert liber den dritten Term aufweist, von der 
Zertif izierungscomputereinheit (CA) zu der zweiten Compu- 
tereinheit (N) libertragen wird, 

5 - bei dem in der zweiten Computereinheit (N) der signierte 
Hash-Wert liber den dritten Term verifiziert wird, 

- bei dem eine zweite Nachricht (M2) von der zweiten Compu- 
tereinheit (N) an die erste Computereinheit (U) ubertragen 
wird/ wobei die zweite Nachricht (M2) mindestens den si- 

10 gnierten Hash-Wert liber den dritten Term aufweist, und 

- bei dem in der ersten Computereinheit (U) der signierte 
Hash-Wert uber den dritten Term verifiziert wird. 

10. Verfahren nach Anspruch 9, 

15 bei dem der dritte Term einen offentlichen Benutzersignatur- 
schlussel (PCU) oder eine Grofie, die den Benutzersignatur- 
schllissel (KU) eindeutig bestimmt, aufweist. 

11. Verfahren nach Anspruch 9 oder 10, 

20 bei dem die funfte Nachricht (M5) sowie die zweite Nachricht 
(M2) mindestens eine Kette von Zertifikaten aufweist, 

12. Verfahren nach Anspruch 8, 

bei dem der funfte Term einen Zeitstempel (TS) aufweist. 

25 

13. Verfahren nach einem der Ansprliche 9 bis 12, 

bei dem der dritte Term einen Zeitstempel (TS) aufweist. 

14. Verfahren nach einem der Anspruche 7 bis 13, 

30 - bei dem in der ersten Computereinheit (U) vor Bildung der 
ersten Nachricht (Ml) ein Zwischenschllissel (L) gebildet 
wird, indem ein offentlicher Schlusselvereinbarungsschlus- 
sel (g^) mit der ersten Zufallszahl (t) potenziert wird, 

- bei dem in der ersten Computereinheit (U) vor Bildung der 
35 ersten Nachricht (Ml) aus der Identitatsgroiie (IMUI) der 

ersten Computereinheit (U) ein zweiter verschllisselter Term 
(VT2) gebildet wird, indem die Identitatsgroiie (IMUI) mit 
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dem Zwischenschlussel (L) unter Anwendung einer Verschlus- 
selungsf unktion (Enc) verschlusselt wird, 

- bei dem die erste Nachricht (Ml) anstatt der Identitatsgro- 
iie (IMUI) der ersten Computereinheit (U) den zweiten ver- 

5 schltAsselten Term (VT2) aufweist, 

- bei dem die vierte Nachricht (M4) anstatt der Identitats- 
groUe (IMUI) der ersten Computereinheit (U) den zweiten ver- 
schltisselten Term (VT2) aufweist . 

10 15. Verfahren nach einem der Ansprtiche 7 bis 14, 

bei dem in der funften Nachricht (M5) das Netzzertif ikat 
(CertN) Oder eine Zertif ikatskette, deren letztes Glied das 
Netzzertif ikat (CertN) ist, oder das Benut zerzertif ikat 
(CertU) Oder eine Zertif ikatskette, deren letztes Glied das 

15 Benutzerzertif ikat (CertU) ist, mit L verschlusselt ist. 

16, Verfahren nach einem der Anspruche 7 bis 15, 
bei dem in der Zertif izierungscomputereinheit (CA) mindestens 
eine der Groiien, die Identitatsangabe (idj^) der zweiten Com- 
20 putereinheit (N) , die Identi tatsgrolie (IMUI)der ersten Compu- 
tereinheit (U) , der offentliche Net zschliissel (g^), das Netz- 
zertifikat (CertN) oder das Benutzerzertif ikat (CertU) anhand 
einer Revokationsliste uberpriift wird. 

25 17. Verfahren nach einem der Anspruche 1 bis 16, 

- bei dem die erste Nachricht (Ml) mindestens eine alte tern- 
porare Identitatsgroiie (TMUIO) der ersten Computereinheit 
(U) aufweist, 

- bei dem in der zweiten Computereinheit (N) , nachdem die er- 
30 ste Nachricht (Ml) empfangen wurde und bevor die zweite 

Nachricht (M2 ) gebildet wird, flir die erste Computereinheit 
(U) eine neue temporare Identitatsgroiie (TMUIN) gebildet 
wird, 

- bei dem aus der neuen temporaren Identitatsgroiie (TMUIN) 
35 der ersten Computereinheit (U) ein ftinfter verschlilsselter 

Term (VT5) gebildet wird, in dem die neue temporare Identi- 
tatsgroiie (TMUIN) der ersten Computereinheit (U) mit dem 
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Sitzungschliissel (K) unter Anwendung der Verschlusselungs- 
funktion (Enc) verschlusselt wird, 

- bei dem die zweite Nachricht (M2 ) mindestens den funften 
verschlusselten Term (VT5) aufweist, 

5 - bei dem in der ersten Computereinheit (U) , nachdem die 

zweite Nachricht (M2) empfangen wurde und bevor die vierte 
Eingangsgrofie gebildet wird, der fiinfte verschlusselte Term 
(VT5) entschlusselt wird, 

- bei dem die dritte Eingangsgrofie fur die erste Hash- 

10 Funktion (hi) oder fur die zweite Hash-Funktion {h2) zur 

Bildung der vierten Eingangsgrolie mindestens die neue tem- 
porare Identitatsgrolie (TMUIN) der ersten Computereinheit 
(U) aufweist, und 

- bei dem die dritte Nachricht (M3) nicht die Identitatsgrolie 
15 (IMUI) der ersten Computereinheit (U) aufweist. 

18. Verfahren nach einem der Anspriiche 1 bis 17, 

- bei dem in der zweiten Computereinheit (N) eine Information 
zu dem Sit zungsschlussel (K) enthaltende Antwort (A) gebil- 

20 det wird, 

- bei dem eine zweite Nachricht (M2 ) von der zweiten Compu- 
tereinheit (N) an die erste Computereinheit (U) ubertragen 
wird, wobei die zweite Nachricht (M2) mindestens die Ant- 
wort (A) aufweist, und 

25 - bei dem in der ersten Computereinheit (U) der Sitzungs- 
schlussel (K) anhand der Antwort (A) iiberpruft wird. 

19. Verfahren nach einem der Ansprtiche 1 bis 18, 

bei dem die dritte Nachricht (M3) eine Identitatsgrolie (IMUI) 
30 der ersten Computereinheit (U) aufweist, 

20. Verfahren nach einem der Anspruche 1 bis 19, 

- bei dem in der zweiten Computereinheit (N) die erste Ein- 
gangsgrofie der ersten Hash-Funktion (hi) mindestens eine 

35 zweite Zufallszahl (r) aufweist, 

- bei dem die zweite Nachricht (M2) die zweite Zufallszahl 
(r) aufweist, und 
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- bei dem in der ersten Computereinheit (U) die zweite Ein- 
gangsgroJie der ersten Hash-Funktion (hi) mindestens die 
zweite Zufallszahl (r) aufweist, 

5 21, Verfahren nach einem der Anspruche 1 bis 20, 

bei dem die Groiie bzw. die Groiien wie in Anspruch 3 die zwei- 
te Zufallszahl (r) enthalt bzw. enthalten. 

22, Verfahren nach einem der Anspruche 1 bis 21, 

10 - bei dem in der ersten Computereinheit (U) vor Bildung der 
dritten Nachricht {M3) aus der Identitatsgrolie ( IMUI) der 
ersten Computereinheit (U) ein zweiter verschlussel ter Term 
(VT2) gebildet wird, in dem mindestens die Identitatsgrolie 
(IMUI) mit dem Sitzungsschliissel (K) unter Anwendung der 

15 Verschlusselungsf unktion (Enc) verschlussel t wird, 

- bei dem die dritte Nachricht (M3) den zweiten verschlussel- 
ten Term (VT2) aufweist, und 

- bei dem in der zweiten Computereinheit (N) , nachdem die 
dritte Nachricht (M3) empfangen wurde, der zweite ver- 

20 schliisselte Term (VT2) entschlusselt wird. 

23. Verfahren nach einem der Anspruche 1 bis 22, 

- bei dem die zweite Nachricht (M2) ein optionales erstes Da- 
tenfeld (datl) aufweist und 

25 - bei dem die dritte Eingangsgroiie fiir die erste Hash- 
Funktion (hi) Oder fur die zweite Hash-Funktion (h2) zur 
Bildung der vierten Eingangsgroiie mindestens das optionale 
erste Datenfeld (datl) aufweist. 

30 24. Verfahren nach einem der Anspruche 1 bis 23, 

- bei dem in der ersten Computereinheit (U) vor Bildung der 
dritten Nachricht (M3) ein dritter verschlusselter Term 
(VT3) gebildet wird, indem mindestens ein optionales zwei- 
tes Datenfeld {dat2) mit dem Sitzungsschliissel (K) unter 

35 Anwendung der Verschlusselungsf unktion (Enc) verschlusselt 
wird, 
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- bei dem die dritte Nachricht (M3) mindestens den dritten 
verschliisselten Term (VT3) aufweist, und 

- bei dem in der zweiten Computereinheit (N) , nachdem die 
dritte Nachricht {M3) empfangen wurde, der dritte ver- 

5 schlusselte Term (VT3) entschlusselt wird. 

25. Verfahren nach einem der Anspruche 1 bis 24, 

- bei dem in der ersten Computereinheit (U) vor Bildung der 
dritten Nachricht (M3) ein erster verschlussel ter Term 

10 (VTl) gebildet wird, indem mindestens der Signaturterm un- 

ter Anwendung der Verschlusselungsf unktion (Enc) verschlus- 
selt wird, 

- bei dem die dritte Nachricht (M3) den ersten verschlussel- 
ten Term (VTl) aufweist, und 

15 - bei dem in der zweiten Computereinheit (N) , nachdem die 

dritte Nachricht (M3) empfangen wurde und bevor der Signa- 
turterm verifiziert wird, der erste verschlusselte Term 
(VTl) entschlusselt wird, 

20 26. Verfahren nach einem der Anspruche 1 bis 25, 

bei dem in der zweiten Computereinheit (N) eine Antwort (A) 
gebildet wird, indem eine Konstante (const) , sowie eventuell 
weitere Groiien, die in der zweiten Computereinheit (N) und 
in der ersten Computereinheit (U) bekannt sind, mit dem Sit- 

25 zungsschlussel (K) unter Anwendung der Verschlusselungsf unk- 
tion (Enc) verschlusselt werden. 

27. Verfahren nach einem der Anspruche 1 bis 26, 
bei dem in der ersten Computereinheit (U) die Antwort (A) 
30 uberpruft wird, indem eine Konstante (const) , sowie eventuell 
weitere Grofien, mit dem Sitzungsschlussel (K) unter Anwendung 
der Verschlusselungsf unktion (Enc) verschlusselt wird und das 
Ergebnis mit der Antwort (A) verglichen wird. 

35 28. Verfahren nach einem der Anspruche 1 bis 26, 

bei dem in der ersten Computereinheit (U) die Antwort (A) 
uberpruft wird, indem die Antwort (A) mit dem Sitzungsschliis- 
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sel (K) unter Anwendung der Verschlusselungsf unktion (Enc) 
entschlusselt wird und eine entschliisselte Konstante (const') 
mit einer Konstante (const) , sowie eventuell weiteren Groften, 
verglichen wird. 

5 

29. Verfahren nach einem der Anspruche 1 bis 28, 

- bei deiti in der zweiten Computereinheit (N) eine Antwort (A) 
gebildet wird, indem eine dritte Hash-Funktion (h3) ange- 
wendet wird auf eine Eingangsgroiie, die mindestens den Sit- 

10 zungsschlussel (K) aufweist, und 

- bei dem in der ersten Computereinheit (U) die Antwort (A) 
uberpriift wird, indem die dritte Hash-Funktion (h3) ange- 
wendet wird auf die EingangsgroBe, die mindestens den Sit- 
zungsschlussel (K) aufweist, und das Ergebnis mit der Ant- 

15 wort (A) verglichen wird. 

30. Verfahren nach einem der Anspruche 1 bis 29, 

bei dem die dritte Nachricht (M3) mindestens ein optionales 
zweites Datenfeld (dat2) aufweist, 

20 

31. Verfahren nach einem der Anspruche 1 bis 30, 

bei dem die erste Computereinheit (U) durch ein mobiles Kom- 
munikationsendgerat und/oder die zweite Computereinheit (N) 
durch eine Authentif izierungseinheit in einem Mobil- 
25 Kommunikationsnetz gebildet wird/werden. 

32. Anordnung zum rechnergestutzten Austausch kryptographi- 
scher Schlussel zwischen einer ersten Computereinheit (U) und 
einer zweiten Computereinheit (N) , bei der die erste Compu- 

30 tereinheit (U) und die zweite Computereinheit (N) derart ein- 
gerichtet sind, daB folgende Verf ahrensschritte durchfiihrbar 
sind: 

- aus einer ersten Zufallszahl (t) wird mit Hilfe eines er- 
zeugenden Elements (g) einer endlichen Gruppe in der ersten 

35 Computereinheit (U) ein erster Wert (g^) gebildet, 

- eine erste Nachricht (Ml) wird von der ersten Computerein- 
heit (U) an die zweite Computereinheit (N) ubertragen, wo- 
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bei die ersten Nachricht (Ml) luindestens den ersten Wert 
(g''^) aufweist^ 

- in der zweiten Computereinheit (N) wird ein Sit zungsschlus- 
sel (K) mit Hilfe einer ersten Hash-Funktion (hi) gebildet, 

5 wobei eine erste EingangsgroBe der ersten Hash-Funktion 

(hi) mindestens einen ersten Term aufweist, der gebildet 
wird durch eine Exponentiation des ersten Werts (g^) mit 
einem geheimen Netzschliissel (s), 

- in der ersten Computereinheit (U) wird der Sit zungsschlus- 
10 sel (K) gebildet mit Hilfe der ersten Hash-Funktion (hi), 

wobei eine zweite Eingangsgroiie der ersten Hash-Funktion 
(hi) mindestens einen zweiten Term aufweist, der gebildet 
wird durch eine Exponentiation eines offentlichen Netz- 
schllissels (g^) mit der ersten Zufallszahl (t) , 

15 - in der ersten Computereinheit (U) wird mit Hilfe einer 

zweiten Hash-Funktion (h2) oder der ersten Hash-Funktion 
(hi) eine vierte Eingangsgroiie gebildet wird, wobei eine 
dritte Eingangsgroiie fur die erste Hash-Funktion (hi) oder 
fiir die zweite Hash-Funktion (h2) zur Bildung der vierten 

20 Eingangsgroiie eine oder weitere Groiien aufweist, aus denen 

auf den Sitzungsschltissel eindeutig rilckgeschlossen werden 
kann . 

- in der ersten Computereinheit (U) wird ein Signaturterm aus 
mindestens der vierten Eingangsgroiie gebildet unter Anwen- 

25 dung einer ersten Signaturf unktion (Sigy) , 

- eine dritte Nachricht (M3) wird von der ersten Computerein- 
heit (U) an die zweite Computereinheit (N) ubertragen, wo- 
bei die dritte Nachricht (M3) mindestens den Signaturterm 
der ersten Computereinheit (U) aufweist, und 

30 - in der zweiten Computereinheit (N) wird der Signaturterm 
verif iziert . 



33. Anordnung nach Anspruch 31, 

bei dem der geheime Netzschliissel und/oder der offentliche 
35 Netzschliissel langlebige Schltissel ist/sind. 
34 ♦ Anordnung nach Anspruch 32 oder 33, 
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bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daii die dritte Ein- 
gangsgroiie inehrere GroBen aufweist, aus denen auf den Sit- 
zungsschlussel eindeutig ruckgeschlossen warden kann. 

5 

35. Anordnung nach einem der Anspruce 32 bis 34, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, dafi die GroBe bzw. 
die GroBen mindestens zumindest den ersten Wert (g"^) und/oder 
10 den offentlichen Netzschliissel (g^) enthalt bzw. enthalten. 

36. Anordnung nach einem der Anspriiche 32 bis 35, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daB folgende Verfah- 
15 rensschritte durchfiihrbar sind: 

- die erste Nachricht (Ml) weist eine Identitatsangabe (id^^) 
einer Zertif izierungscomputereinheit (CA) , die ein Netzzer- 
tifikat (CertN) oder eine Kette von Zertif ikaten, deren 
letztes das Net zzertif ikat (CertN) ist, liefert, das oder 

20 die von der ersten Computereinheit (U) verifiziert werden 

kann, auf, 

- eine zweite Nachricht (M2) wird von der zweiten Compu- 
tereinheit (N) an die erste Computereinheit (U) tibertragen, 
wobei die zweite Nachricht (M2) mindestens das Netzzertifi- 

25 kat (CertN) oder die Kette von Zertif ikaten, deren letztes 

das Netzzertif ikat (CertN) ist, aufweist, und 

- in der ersten Computereinheit (U) wird das Netzzertif ikat 
(CertN) Oder die Kette von Zertif ikaten, deren letztes das 
Netzzertif ikat (CertN) ist, verifiziert wird. 

30 

37. Anordnung nach Anspruch 36, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daB folgende Verfah- 
rensschritte durchfiihrbar sind: 
35 - eine dritte Nachricht (M3) wird von der ersten Computerein- 
heit (U) an die zweite Computereinheit (N) ubertragen, wo- 
bei die dritte Nachricht (M3) ein Benutzer zertif ikat 
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(CertU) Oder eine Kette von Zertif ikaten, deren letztes das 
Benutzerzertif ikat (CertU) ist, aufweist, 

- in der zweiten Computereinheit (N) wird das Benut zerzerti- 
fikat (CertU) oder die Kette von Zertif ikaten, deren letz- 
tes das Benutzerzertif ikat (CertU) ist, verifiziert. 

38. Anordnung nach einem der Anspruche 32 bis 37, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, dai5 folgende Verfah- 
rensschritte durchfuhrbar sind: 

- die erste Nachricht (Ml) weist eine Identitatsgrolie (IMUI) 
der ersten Computereinheit (U) und eine Identitatsangabe 
(^^CA) einer Zertif izierungscomputereinheit (CA) , die der 
ersten Computereinheit (U) ein Netzzertif ikat (CertN) lie- 
fert, das von der ersten Computereinheit (U) verifiziert 
werden kann, auf, 

- eine vierte Nachricht (M4) wird von der zweiten Compu- 
tereinheit (N) an die Zertif izierungscomputereinheit (CA) 
ubertragen, wobei die vierte Nachricht (M4) mindestens den 
ersten Wert (g"^) als EingangsgrofJe aufweist, 

- eine funfte Nachricht (M5) , die mindestens das Netzzertifi- 
kat (CertN) oder eine Zertif ikatskette, deren letztes Glied 
das Netzzertif ikat (CertN) ist, oder das Benutzerzertif ikat 
(CertU) Oder eine Zertif ikatskette, deren letztes Glied das 
Benutzerzertif ikat (CertU) ist, aufweist, wird von der Zer- 
tif izierungscomputereinheit (CA) zu der zweiten Compu- 
tereinheit (N) ubertragen, 

39. Anordnung nach einem der Anspruche 32 bis 38, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, dali folgende Verfah- 
rensschritte durchfuhrbar sind: 

- eine vierte Nachricht {M4) wird von der zweiten Compu- 
tereinheit (N) an die Zertif izierungscomputereinheit (CA) 
ubertragen, wobei die vierte Nachricht (M4) mindestens den 
offentlichen Netzschlussel (g^), den ersten Wert (gt) , die 
Identitatsgrofie (IMUI) der ersten Computereinheit (U) als 
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Eingangsgrofie aufweist und wobei eine AusgangsgroBe einer 
dritten Hash-Funktion (h3) unter Verwendung einer zweiten 
Signaturf unktion (Sigj^) signiert wird, 

- in der Zertif izierungscomputereinheit (CA) wird der erste 
5 signierte Term verifiziert, 

- in der Zertif izierungscomputereinheit (CA) wird ein dritter 
Term gebildet, der mindestens den ersten Wert (g^) , den of- 
fentlichen Net zschlussel (g^) und eine Identitatsangabe 
(idjj) der zweiten Computereinheit (N) aufweist, 

10 - in der Zertif izierungscomputereinheit (CA) wird unter Ver- 
wendung einer vierten Hash-Funktion (h4) ein Hash-Wert uber 
den dritten Term gebildet, 

- in der Zertif izierungscomputereinheit (CA) wird der Hash- 
Wert uber den dritten Term unter Verwendung einer dritten 

15 Signaturf unktion (Sig^j:^) signiert, 

- in der Zertif izierungscomputereinheit (CA) wird ein Netz- 
zertifikat (CertN) gebildet, das mindestens den dritten 
Term und den signierten Hash-Wert des dritten Terms auf- 
weist, 

20 - in der Zertif izierungscomputereinheit (CA) wird auf einen 

ftinften Term, der mindestens die Identitatsangabe (idjj) der 
zweiten Computereinheit (N) und ein Benutzerzertif ikat 
(CertU) aufweist, eine vierte Hash-Funktion (h4) angewen- 
det, 

25 - der Hash-Wert des flinften Terms wird durch Verwendung der 
dritten Signaturf unktion (Sig^A) rait dem geheimen Zertifi- 
zierungsschlussel (cs) signiert und das Ergebnis stellt den 
zweiten signierten Term dar, 

- eine funfte Nachricht (MS) , die mindestens das Netzzertifi- 
30 kat (CertN) , den funften Term und den zweiten signierten 

Term aufweist, wird von der Zertif izierungscomputereinheit 
(CA) zu der zweiten Computereinheit (N) ubertragen, 

- in der zweiten Computereinheit (N) werden das Netzzertifi- 
kat (CertN) und der zweite signierte Term verifiziert, 

35 - in der zweiten Computereinheit (N) wird ein vierter Term, 
der mindestens den offentlichen Net zschlussel (g^) und den 
signierten Hash-Wert des dritten Terms aufweist, gebildet, 
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- eine zweite Nachricht (M2) wird von der zweiten Compu- 
tereinheit (N) an die erste Coitiputereinheit (U) libertragen, 
wobei die zweite Nachricht (M2) mindestens den vierten Term 
aufweist, und 

5 - in der ersten Computereinheit (U) wird das Netzzertif ikat 
(CertN) verif iziert , 

40. Anordnung nach einem der Ansprtiche 33 bis 39, 
bei der die erste Computereinheit (U) und die zweite Compu- 
10 tereinheit (N) derart eingerichtet sind, daJJ folgende Verfah- 
rensschritte durchfuhrbar sind: 

- die erste Nachricht (Ml) weist eine Identitatsgrofie (IMUI) 
der ersten Computereinheit (U) und eine Identitatsangabe 
(idcj^) einer Zertif izierungscomputereinheit (CA) , die der 

15 ersten Computereinheit (U) ein Netzzertif ikat (CertN) oder 

eine Kette von Zertif ikaten, deren letztes das Netzzertifi- 
kat (CertN) ist, liefert, das oder die von der ersten Com- 
putereinheit (U) verifiziert werden kann oder konnen, auf, 

- eine vierte Nachricht (M4) wird von der zweiten Compu- 

20 tereinheit (N) an die Zertif izierungscomputereinheit (CA) 

iibertragen, wobei die vierte Nachricht (M4 ) mindestens ein 
Zertifikat auf den offentlichen Netzschlussel (g^) , den er- 
sten Wert (g^)und die Identitatsgroiie (IMUI) der ersten 
Computereinheit (U) aufweist, 

25 - in der Zertif izierungscomputereinheit (CA) wird ein dritter 
Term gebildet, der mindestens einen offentlichen Netz- 
schlussel (g^) Oder eine GroJie, die den offentlichen Netz- 
schlussel (g^) eindeutig bestimmt, aufweist, 

- in der Zertif izierungscomputereinheit (CA) wird unter Ver- 
30 wendung einer vierten Hash-Funktion (h4) ein Hash-Wert uber 

den dritten Term gebildet, 

- in der Zertif izierungscomputereinheit (CA) wird der Hash- 
Wert liber den dritten Term unter Verwendung einer dritten 
Signaturfunktion (SigcA) signiert, . 

35 - eine fiinfte Nachricht (M5) , die mindestens den signierten 

Hash-Wert liber den dritten Term aufweist, wird von der Zer- 
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tif izierungscomputereinheit (CA) zu der zweiten Compu- 
tereinheit (N) tibertragen, 

- in der zweiten Computereinheit (N) wird der signierte Hash 
Wert uber den dritten Term verifiziert, 

5 - eine zweite Nachricht (M2) wird von der zweiten Compu- 
tereinheit (N) an die erste Computereinheit (U) libertragen 
wobei die zweite Nachricht (M2) mindestens den den signier 
ten Hash-Wert liber den dritten Term aufweist, und 

- in der ersten Computereinheit (U) wird der signierte Hash- 
10 Wert iiber den dritten Term verifiziert. 

41, Anordnung nach Anspruch 4 0, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, dai5 folgende Verfah 
15 rensschritte durchfiihrbar sind: 

der dritte Term weist den offentlichen Benutzersignatur- 
schlussel (KU) Oder eine GroBe, die den Benut zersignatur- 
schlussel (KU) eindeutig bestimmt, auf, 

20 42. Anordnung nach Anspruch 40 oder 41, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daii folgende Verfah 
rensschritte durchfiihrbar sind: 

die funfte Nachricht (M5) sowie die zweite Nachricht (M2) 
25 weist mindestens eine Kette von Zertifikaten auf. 

43. Anordnung nach einem der Anspruche 38 bis 42, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daR folgende Verfah 
30 rensschritte durchfiihrbar sind: 

der funfte Term weist einen Zeitstempel (TS) auf. 

44. Anordnung nach einem der Anspruche 38 bis 43, 

bei der die erste Computereinheit (U) und die zweite Compu- 
35 tereinheit (N) derart eingerichtet sind, dafJ folgende Verfah 
rensschritte durchfiihrbar sind: 

der dritte Term weist einen Zeitstempel (TS) auf. 



wo 99/60747 



PCT/DE99/01365 



56 

45. Anordnung nach einem der Anspruche 38 bis 44, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, dali folgende Verfah- 
5 rensschritte durchfuhrbar sind: 

- in der ersten Computereinheit (U) wird vor Bildung der er- 
sten Nachricht (Ml) ein Zwischenschltissel (L) gebildet 
wird, indem ein offentlicher Schliisselvereinbarungsschlus- 
sel (g^) mit der ersten Zufallszahl (t) potenziert, 

10 - in der ersten Computereinheit (U) wird vor Bildung der er- 
sten Nachricht (Ml) aus der Ident itatsgrofie (IMUI) der er- 
sten Computereinheit (U) ein zweiter verschlusselter Term 
(VT2) gebildet wird, indem die Identitatsgrolie (IMUI) mit 
dem Zwischenschlussel (L) unter Anwendung einer Verschlils- 

15 selungsf unktion (Enc) verschliisselt , 

- die erste Nachricht (Ml) weist anstatt der Identitatsgrolie 
(IMUI) der ersten Computereinheit (U) den zweiten verschliis- 
selten Term (VT2) auf, 

- bei dem die vierte Nachricht (M4) anstatt der Identitats- 
20 groiie (IMUI) der ersten Computereinheit (U) den zweiten ver- 

schlusselten Term (VT2) aufweist. 

46. Anordnung nach einem der Anspruche 38 bis 45, 

25 bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daB folgende Verfah- 
rensschritte durchfuhrbar sind: 

- in der funften Nachricht (M5) ist das Netzzertif ikat 
(CertN) Oder eine Zertif ikatskette, deren letztes Glied das 

30 Netzzertif ikat (CertN) ist, Oder das Benutzerzertif ikat 

(CertU) Oder eine Zertif ikatskette, deren letztes Glied das 
Benutzerzertif ikat (CertU) ist, mit L verschlusselt , 



35 47. Anordnung nach einem der Anspruche 38 bis 46, 
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bei der die erste Computereinheit (U) und die zweite Coiupu- 
tereinheit (N) derart eingerichtet sind, daB folgende Verfah- 
rensschritte durchfuhrbar sind: 

in der Zertif izierungscomputereinheit (CA) wird mindestens 
5 eine der Groiien, die Identitatsangabe (idj^) der zweiten Com- 
putereinheit (N) , die Identitatsgrofie (IMUI)der ersten Compu- 
tereinheit (U) , der offentliche Net zschlussel (g^) , das Netz- 
zertifikat (CertN) oder das Benutzerzerti.f ikat (CertU) anhand 
einer Revokationsliste uberprtift, 

10 

48. Anordnung nach einem der Anspriiche 32 bis 47, 
bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, da5 folgende Verfah- 
rensschritte durchfuhrbar sind: 
15 - die erste Nachricht (Ml) weist mindestens eine alte tempo- 
rare IdentitatsgroBe (TMUIO) der ersten Computereinheit (U) 
auf , 

- in der zweiten Computereinheit (N) wird, nachdem die erste 
Nachricht (Ml) empfangen wurde und bevor die zweite Nach- 

20 richt (M2 ) gebildet wird, fur die erste Computereinheit (U) 

eine neue temporare Identitatsgroiie (TMUIN) gebildet, 

- aus der neuen temporaren IdentitatsgroJie (TMUIN) der ersten 
Computereinheit (U) wird ein flinfte verschllisselter Term 
(VT5) gebildet, indem die neue temporare Identitatsgroiie 

25 (TMUIN) der ersten Computereinheit (U) mit dem Sitzung- 

schlussel (K) unter Anwendung der Verschlusselungsf unktion 
(Enc) verschliisselt wird, 

- die zweite Nachricht (M2) weist mindestens den funften ver- 
schliisselten Term (VT5) auf, 

30 - in der ersten Computereinheit (U) wird, nachdem die zweite 
Nachricht (M2) empfangen wurde und bevor die vierte Ein- 
gangsgroiie gebildet wird, der funfte verschlusselte Term 
(VT5) entschlusselt, 

- die dritte EingangsgroJie fur die erste Hash-Funktion (hi) 
35 Oder fur die zweite Hash-Funktion (h2) zur Bildung der 

vierten EingangsgroBe weist mindestens die neue temporare 
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IdentitatsgroiJe (TMUIN) der ersten Computereinheit (U) auf, 
und 

- die dritte Nachricht (M3) weist nicht die IdentitatsgroiJe 
(IMUI) der ersten Computereinheit (U) auf, 

49. Anordnung nach einem der Anspruche 32 bis 48, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daB folgende Verfah- 
rensschritte durchfuhrbar sind: 

- in der zweiten Computereinheit (N) wird eine Information zu 
dem Sitzungsschliissel (K) enthaltende Antwort (A) gebildet, 

- eine zweite Nachricht (M2) wird von der zweiten Compu- 
tereinheit (N) an die erste Computereinheit (U) ubertragen, 
wobei die zweite Nachricht (M2) mindestens die Antwort (A) 
aufweist, und 

- in der ersten Computereinheit (U) wird der Sitzungsschliis- 
sel (K) anhand der Antwort (A) uberpruft. 

50. Anordnung nach einem der Anspruche 32 bis 49, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daii folgende Verfah- 
rensschritte durchfuhrbar sind: 

die dritte Nachricht (M3) weist eine IdentitatsgroiJe (IMUI) 
der ersten Computereinheit (U) auf. 

51. Anordnung nach einem der Anspruche 32 bis 48, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daiJ folgende Verfah- 
rensschritte durchfuhrbar sind: 

- in der zweiten Computereinheit (N) weist die erste Ein- 
gangsgroBe der ersten Hash-Funktion (hi) mindestens eine 
zweite Zufallszahl (r) auf, 

- die zweite Nachricht (M2) weist die zweite Zufallszahl (r) 
auf, und 

- in der ersten Computereinheit (U) weist die zweite Ein- 
gangsgroBe der ersten Hash-Funktion (hi) mindestens die 
zweite Zufallszahl (r) auf. 



wo 99/60747 



PCT/DE99/01365 



59 

52. Anordnung nach einem der Anspriiche 32 bis 41, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daii die Grolie bzw. 
5 die Groiien nach Anspruch 34 die zweite Zufallszahl (r) ent- 
halt bzw . en thai ten . 

53. Anordnung nach einem der Anspruche 32 bis 51, 

bei der die erste Computereinheit (U) und die zweite Compu- 
10 tereinheit (N) derart eingerichtet sind, dali folgende Verfah- 
rensschritte durchfuhrbar sind: 

- in der ersten Computereinheit (U) wird vor Bildung der 
dritten Nachricht (M3) aus der Identitatsgrofie (IMUI) der 
ersten Computereinheit (U) ein zweiter verschlusselter Term 

15 (VT2) gebildet, indem mindestens die Identitatsgrofie (IMUI) 

mit dem Sitzungsschliissel (K) unter Anwendung der Ver- 
schlusselungsf unktion (Enc) verschlusselt wird, 

- die dritte Nachricht {M3) weist den zweiten verschlusselten 
Term (VT2) auf , und 

20 - in der zweiten Computereinheit (N) wird, nachdem die dritte 
Nachricht (M3) empfangen wurde, der zweite verschlusselte 
Term (VT2) entschlussel t . 

54. Anordnung nach einem der Anspruche 32 bis 53, 

25 bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daB folgende Verfah- 
rensschritte durchfuhrbar sind: 

- die zweite Nachricht {M2) weist ein optionales erstes Da- 
tenfeld (datl) auf, und 

30 - die dritte Eingangsgrolie fur die erste Hash-Funktion (hi) 
Oder fur die zweite Hash-Funktion (h2) zur Bildung der 
vierten Eingangsgrolie weist mindestens das optionale erste 
Datenfeld (datl) auf. 

35 55. Anordnung nach einem der Anspruche 32 bis 54, 
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bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, dafi folgende Verfah- 
rensschritte durchf iihrbar sind: 

- in der ersten Computereinheit (U) wird vor Bildung der 
5 dritten Nachricht (M3) ein dritter verschlusselter Term 

(VT3) gebildet/ indem mindestens ein optionales zweites Da- 
tenfeld (dat2) mit dem Sitzungsschllissel (K) unter Anwen- 
dung der Verschliisselungsf unktion (Enc) verschlusselt wird, 

- die dritte Nachricht (M3) weist mindestens den dritten ver- 
10 schliisselten Term (VT3) auf, und 

- in der zweiten Computereinheit (N) wird, nachdem die dritte 
Nachricht (M3) empfangen wurde, der dritte verschliisselte 
Term {VT3) entschlusselt . 

15 56, Anordnung nach einem der Anspruche 32 bis 55, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daii folgende Verfah- 
rensschritte durchf iihrbar sind: 

- in der ersten Computereinheit (U) wird vor Bildung der 
20 dritten Nachricht (M3) ein erster verschlusselter Term 

(VTl) gebildet, indem mindestens der Signaturterm unter 7^- 
wendung der Verschlusselungsf unktion (Enc) verschlusselt 
wird, 

- die dritte Nachricht (M3) weist den ersten verschliisselten 
25 Term (VTl) auf, und 

- in der zweiten Computereinheit (N) wird, nachdem die dritte 
Nachricht {M3) empfangen wurde und bevor der Signaturterm 
verifiziert wird, der erste verschliisselte Term (VTl) ent- 
schlusselt . 

30 

57. Anordnung nach einem der Anspruche 32 bis 56, 
bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daI3 folgende Verfah- 
rensschritte durchf iihrbar sind: 
35 in der zweiten Computereinheit (N) wird eine Antwort (A) ge- 
bildet, indem eine Konstante (const) , sowie eventuell weitere 
Groiien, die in der zweiten Computereinheit (N) und in der er- 
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sten Computereinheit (U) bekannt sind^ mit dem Sitzungs- 
schlussel (K) unter Anwendung der Verschlusselungsf unktion 
(Enc) verschlusselt wird. 

5 58. Anordnung nach einem der Ansprtiche 44 bis 57, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, dali folgende Verfah 
rensschritte durchfuhrbar sind: 

in der ersten Computereinheit (U) wird die Antwort (A) iiber- 
10 pruft, indem eine Konstante (const) sowie eventuell weitere 
Grolien, mit dem Sitzungsschlussel (K) unter Anwendung der 
Verschlusselungsf unktion (Enc) verschlusselt wird und das Er 
gebnis mit der Antwort (A) verglichen wird, 

15 59. Anordnung nach einem der Anspruche 44 bis 57, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, dafi folgende Verfah 
rensschritte durchfuhrbar sind: 

in der ersten Computereinheit (U) wird die Antwort (A) uber- 
20 priift, indem die Antwort (A) mit dem Sitzungsschlussel (K) 

unter Anwendung der Verschlusselungsf unktion (Enc) entschlus 
selt wird und eine entschlusselte Konstante (const') sowie 
eventuell weitere GroBen, mit einer Konstante (const) ver- 
glichen wird. 

25 

60. Anordnung nach einem der Anspruche 32 bis 59, 
bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, dafi folgende Verfah 
rensschritte durchfuhrbar sind: 
30 - in der zweiten Computereinheit (N) wird eine Antwort (A) 
gebildet, indem eine dritte Hash-Funktion (h3) angewendet 
wird auf eine Eingangsgrolie, die mindestens den Sitzungs- 
schlussel (K) aufweist, und 
- in der ersten Computereinheit (U) wird die Antwort (A) 
35 uberpruft, indem die dritte Hash-Funktion (h3) angewendet 

wird auf eine Eingangsgroiie , die mindestens den Sitzungs- 



wo 99/60747 



PCT/DE99/01365 



62 

schlussel (K) aufweist, und das Ergebnis mit der Antwort 
(A) verglichen wird. 

61. T^jiordnung nach einem der Anspruche 32 bis 60, 

5 bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daB folgende Verfah- 
rensschritte durchfuhrbar sind: 

die dritte Nachricht (M3) weist mindestens ein optionales 
zweites Datenfeld (dat2) auf. 

0 

62. Anordnung nach einem der Anspruche 32 bis 61, 

bei der die erste Computereinheit (U) und die zweite Compu- 
tereinheit (N) derart eingerichtet sind, daiJ folgende Verfah- 
rensschritte durchfuhrbar sind: 
5 die erste Computereinheit (U) durch ein mobiles Kommunikati- 
onsendgerat und/oder die zweite Computereinheit (N) 
wird/werden durch eine Authentif izierungseinheit in einem Mo- 
bil-Kommunikationsnetz gebildet . 



wo 99/60747 



1/6 



PCT/DE99/01365 



FIG1A 



erste Computereinheit U 

Generierung erste \(^^^^ 
Zufallszahl t 

I 



zweite Computereinheit N 

KU 



Bildung des ersten 
Werts g ^ 



102 
M1=g* 



103 



104 



105 



Generierung zweite 
^ - Zufallszahl r 



106 



- Bildung des 

SitzungsschlQsseis 
K=h1((gt)S|r) 



107 



Bildung der 
Antwort A 



M2=r| A|dat1 



Bildung des 
Sitzungsschiussels 
K=h1((gS)t|r) ^ 



r 



UberprOfen der 
Antwort A 

5 



108 



109 



BERICHTIGTES BUTT (REGEL 91) 



i 



,owsn))lN\nfl39VdSlHi 



wo 99/60747 PCT/DE99/0I36S 

2/6 



FIG1B 



erste Computereinheit U 



zweite Computereinheit N 



r 



110 



Bildung eines Signaturterms 
SigU(h3(g^ 19^ IrjidNldatl | dat2) 



I 



y-111 



Bildung VT4 
VT4=Enc(K, SigU | IMUl \ dat2) 



112 



M3= VT4- 



113 



Verifikation des Signaturterms 
SigU anhand des 
Benutzerzertifikats des 
offentiichen Benutzerschiussels 



BERICHTIGTES BUTT (REGEL 91) 



wo 99/60747 



3/6 



PCT/DE99/01365 



FIG 2A 



erste Computereinheit U 
KU 



zweite Computereinheit N 



Generieaing erste 
Zufallszahl t A 



Biidung des ersten 
Werts gt 



201 



202 



203 



M1=gt lidCA. 



204 



205 



Generierung zweite 
^ . Zufallszahl r 



207 



206 



M2= r I A I dat1 | CertN 



Biidung des 
Sitzungsschlussels 
K=h1((gt)S|r) 



Biidung der 
Antwort A 



Biidung des 
Sitzungsschlussels 
K=h1((gS)t|r) ^ 



Uberpriifen der 
Antwort A 

1 



208 



209 



BERICHnGrESBLATT(REGEL9D 



wo 99/60747 PCT/DE99/01365 

4/6 



FIG 2B 



erste Computereinheit U 



zweite Computereinheit N 



2 



r 



210 



Bildung eines Signaturterms 
SigU(h3(g^ 19^ | r | idN | dat1 | dat2) 



^211 



Bildung VT4 
VT4=Enc(K, SigU | CertU | dat2) 



212 



M3= VT4- 



213 



Verifikation des Signaturterms 
SigU anhand des 
Benutzerzertifikats des 
offentiichen Benutzerschlusseis 



BERICHTIGTESBUTTfREGasO 



wo 99/60747 



5/6 



PCT/DE99/01365 



FIG3A 



erste Computereinheit U Zertifizierungscomputereinheit CA 



zweite Computereinheit N 



Generlerung erste 
Zufallszahl t - 



Bildung des ersten 
Werts g^ 



301 



302 



303 



304 



M^=d I idCA I Enc(L. idy) 



305. 



M4=gt I Enc(L, idU) | CertN 
► 

M5=TS I CertChain(U,N) | Enc(L, CertChain(N.U) I 
■CertChain(N, CA) | Enc(L, SigCA(h3(gt 1 cidU | cidN 

I p))) 

M2= r I A I dat1 | TS | CertChain(U,N) | Enc(L, 
SigCA(h3(gt | cidU | cidN | TS)) 



Bildung des 
SitzungsschiDssels 
K=hHgS)t |r) ^ 



Uberprufen der 
Antwort A 



306 



307 



308 



BERICHTIGTES BLATT (REGEL 91) 



wo 99/60747 



PCT/DE99/01365 



6/6 



FIG 3B 



erste Computereinheit U 



zweite Computereinheit N 



3 

J 



r 



309 



Bildung eines Signaturterms 
SigU(h3(g^ \^ | r | idN | dat1 | dat2) 

i 



^310 



Bildung VT4 
VT4=Enc(K, SIgU | dat2 | L) 



311 



M3= VT4- 



312 



Verifikation des Signaturterms 
SigU anhand des 
Benutzerzertifikats des 
6ffentiichen Benutzerschlussels 



BEWCHTIGTESBUTr(REGEL91) 



\ 



I 

i 

f 




J 



This Page is Inserted by IFW Indexing and Scanning 
Operations and is not part of the Official Record 

BEST AVAILABLE IMAGES 

Defective images within this document are accurate representations of the original 
documents submitted by the applicant. 

Defects in the images include but are not limited to the items checked: 

□ BLACK BORDERS 

□ IMAGE CUT OFF AT TOP, BOTTOM OR SffiES 

□ FADED TEXT OR DRAWING 

□ BLURRED OR ILLEGIBLE TEXT OR DRAWING 

□ SKEWED/SLANTED IMAGES 

□ COLOR OR BLACK AND WHITE PHOTOGRAPHS 

□ GRAY SCALE DOCUMENTS 

□ LINES OR MARKS ON ORIGINAL DOCUMENT 

□ REFERENCE(S) OR EXHIBIT(S) SUBMITTED ARE POOR QUALITY 

□ OTHER: 

IMAGES ARE BEST AVAILABLE COPY. 
As rescanning these documents will not correct the image 
problems checked, please do not report these problems to 
the IFW Image Problem Mailbox. 



i 



